5 marca Prezes Urzędu Ochrony Ochrony Danych Osobowych opublikował informacje o nałożeniu dziewiątej w Polsce administracyjnej kary pieniężnej za naruszenie przepisów ogólnego rozporządzenia o ochronie danych. Po raz pierwszy ukarana została placówka oświatowa. Jaka jest wysokość kary i za co została nałożona?
Kilka lat temu Szkoła Podstawowa nr 2 w Gdańsku zdecydowała się zmienić zasady wydawania uczniom posiłków. Przy wejściu do szkolnej stołówki zamontowano czytnik odcisków palców, który był w stanie identyfikować dzieci (oczywiście te, których rodzice wyrazili zgodę na korzystanie z tego rozwiązania). To właśnie ci uczniowie byli obsługiwani w pierwszej kolejności. Pozostałe dzieci – zgodnie z regulaminem wydawania obiadów – miały ustawiać się na końcu kolejki i później otrzymywać posiłek. Ok. 60% uczniów korzystało z czytnika biometrycznego.
Prezes Urzędu Ochrony Danych Osobowych ocenił takie rozwiązanie jako niedopuszczalne z kilku względów:
- wykorzystanie odcisków palców uczniów korzystających z posiłków w szkole jest zbyt daleko idącym rozwiązaniem. Odciski palców, jako dane biometryczne, powinny być wykorzystywane jedynie przy procesach wymagających szczególnych środków bezpieczeństwa (wydawanie obiadów nie jest takim procesem),
- przetwarzanie danych biometrycznych odbywało się na dużą skalę (w roku szkolnym 2018/2019 dotyczyło 603 z 1247 uczniów; w roku szkolnym 2019/2020 – 680 z 1121 dzieci),
- podstawą dla wykorzystania danych biometrycznych była zgoda rodziców; PUODO zakwestionował jej dobrowolność,
- używana metoda wydawania obiadów powodowała podział dzieci na szybciej i wolniej obsługiwane (bezpodstawne różnicowanie sytuacji osób udostępniających dane osobowe i tych, które się na to nie zdecydowały),
PUODO zdecydował, że szkoła – jako administrator danych osobowych – jest zobowiązana do usunięcia posiadanych danych biometrycznych, rezygnacji z systemu i zapłacenia 20.000 zł tytułem administracyjnego. Kara odpowiada wysokością 20% maksymalnego pułapu dla szkoły publicznej. Zgodnie bowiem z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych maksymalna wysokość kary, jaką Prezes UODO może nałożyć na jednostki sektora finansów publicznych za naruszenie RODO, wynosi 100.000 zł.
Decyzja PUODO jest potwierdzeniem dotychczasowej narracji organu nadzorczego: nowoczesne technologie muszą być wykorzystywane z umiarem. Systemy identyfikacyjne, wykorzystujące odciski palców, głos, kształt twarzy, układ żył w ręce itp., powinny być używane jedynie tam, gdzie jest to uzasadnione względami bezpieczeństwa (np. ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony). Używanie biometrii przy wydawaniu obiadów, odbieraniu karnetów na siłownię czy wypożyczaniu książek z biblioteki jest strzelaniem z armaty do wróbla – i może narazić na spore koszty.
Autor: Adam Klimowski, prawnik, JAMANO Sp. z o.o.