Decyzja Prezesa UODO - przetwarzanie danych biometrycznych przez szkołę podstawową niezgodne z RODO

Tematyka: Prezes UODO, decyzja, szkoła podstawowa, dane biometryczne, RODO, ochrona danych osobowych, zgoda rodziców, naruszenie, kara pieniężna, minimalizacja danych

Po przeprowadzeniu postępowania administracyjnego Prezes Urzędu Ochrony Danych Osobowych (dalej
jako: Prezes UODO) stwierdził naruszenie zasad, określonych w art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO
polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki
szkolnej.
Prezes UODO za powyższe naruszenia nałożył na Szkołę Podstawową nr 2 w Gdańsku karę pieniężną
w wysokości 20 000,00 zł.
Stan faktyczny
Na podstawie powziętych informacji o nieprawidłowościach w procesie przetwarzania danych osobowych uczniów
Szkoły Podstawowej nr 2 w Gdańsku (dalej jako: Szkoła) z przepisami rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 2016 r., s. 1 ze zm.; dalej jako: RODO) Prezes UODO
wszczął postępowanie z urzędu.
Prezes UODO ustalił, że Szkoła korzysta z czytnika biometrycznego od 2015 r., który identyfikuje dzieci pobierające
posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu. Szkoła pozyskuje dane na
podstawie pisemnej zgody rodzica (opiekuna prawnego). Zgodnie z przedstawionymi wyjaśnieniami Szkoła nie
posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Dane związane z czytnikiem na odcisk palca
gromadzone są tylko w samym czytniku w postaci zapisu ciągu bajtów. W trakcie odczytu czytnik porównuje czy
istnieje odpowiedni ciąg bajtów, jeśli tak, to wysyła do programu tylko numer pozycji. Numer pozycji przypisany jest
do konkretnego dziecka. Dostęp do danych znajdujących się w czytniku posiadają dwie osoby.
Elementem umowy o korzystanie z posiłków w stołówce szkolnej jest zgoda na korzystanie z czytnika na odcisk
palca. Zgody można nie wyrazić. Ustalono, że po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej
dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku zostaje usunięty. Po usunięciu
na nowo zostaje robiona kopia archiwizacyjna na karcie micro SD. Zgodnie z wyjaśnieniami Szkoły w sytuacji, gdy
rodzic danego dziecka nie wycofa zgody na korzystanie przez nie z czytnika biometrycznego, a dziecko przestanie
korzystać z usług stołówki szkolnej, (bez rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej) wzorzec
biometryczny zapisany w czytniku przechowywany jest do czasu rozwiązania lub do zakończenia roku szkolnego.
Po podpisaniu umowy i wyrażeniu zgody przez rodzica (opiekuna prawnego) na korzystanie z czytnika
biometrycznego dziecko rejestrowane jest w systemie ewidencji wpłat i posiłków (dalej jako: SEWiP) poprzez
wprowadzenie jego imienia, nazwiska, klasy oraz imienia, nazwiska, adresu e-mail, tel. kontaktowego rodzica.
Następnie (jeśli rodzic/ opiekun prawny wyraził zgodę) dochodzi do rejestracji wzorca odcisku palca dziecka
w czytniku. Od tego momentu wzorzec identyfikowany jest przez system za pomocą liczby porządkowej w czytniku.
Czytnik w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu
odciskowi palca wysyła do systemu numer, który w systemie przypisany jest danej osobie i następie odczytuje status
płatności za posiłki (opłacony/nieopłacony). Program SEWiP zainstalowany jest na serwerze szkolnym. Serwer jest
chroniony przed nieuprawnionym dostępem za pomocą hasła oraz posiada ochronę antywirusową z firewallem.
Uzasadnienie Decyzji Prezesa UODO z 18.2.2020 r.
W uzasadnieniu wskazano, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej
świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych
osobowych (zgodnie z motywem 38 RODO). Ponadto, dane biometryczne z racji swej charakterystyki są szczególnie
wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają szczególnej ochrony. Kontekst ich
przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, w związku z powyższym co do
zasady takich dany nie powinno się przetwarzać za wyjątkiem przesłanek legalizujących, określonych w RODO.
W ocenie Prezesa UODO pozyskane przez Szkołę dane uczniów obejmujące informacje
o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego,
stanowią dane biometryczne w rozumieniu przepisu art. 4 pkt 14 RODO, wbrew złożonym wyjaśnieniom
Szkoły. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka
przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem,
nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja. System

biometryczny identyfikuje te cechy, które są co do zasady niezmienne i niejednokrotnie. Z uwagi na unikalność
i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, przetwarzanie danych
biometrycznych powinno odbywać się ze szczególną ostrożnością, w wyjątkowych, uzasadnionych przypadkach
i z rozwagą.
Szkoła w złożonych wyjaśnieniach wskazała, że przetwarzanie danych biometrycznych znajduje oparcie
w dobrowolnej zgodzie rodziców uczniów (opiekunów prawnych). Zgodnie z art. 4 ust. 11 RODO „zgoda” osoby,
której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której
dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie
dotyczących jej danych osobowych. W motywie 43 RODO stwierdza się jednak, że aby można było mówić
o dobrowolności wyrażenia zgody, nie powinna stanowić ona ważnej podstawy prawnej przetwarzania danych
osobowych w szczególności w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą
a administratorem. Należy podkreślić, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa,
wykonując swoje ustawowe zadania (organizując stołówkę). Nie potrzebuje zatem odrębnej zgody rodziców bądź
pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług
przez stołówkę szkolną. Realizując tę usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są
niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie
obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie
zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest
co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.
Wobec powyższego Prezes UODO na podstawie art. 104 § 1 KPA oraz art. 7 ust. 1 i 2, art. 60, art. 102 ustawy
z 10.5.2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781, dalej jako: OchrDanychU) w zw. z art. 5 ust.
1 lit. c, art. 9 ust. 1, art. 58 ust. 2 lit. f, lit. g i lit. oraz z art. 83 ust. 2 i 3, art. 83 ust. 5 lit. a, art. 83 ust. 7 RODO uznał,
że Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających
z usług stołówki szkolnej. W związku z tym Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2
RODO co prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych.
Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. f i lit. g RODO, nakazał
Szkole usunięcia danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji
o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz nakazał
zaprzestania zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji
o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej.
Na podstawie art. 83 ust. 2 ust. 2 lit. a-k RODO Prezes UODO wziął pod uwagę następujące okoliczności tej
sprawy:
1. dane biometryczne dzieci były przetwarzane bez podstawy prawnej z naruszeniem zasady minimalizacji,
określonej w art. 5 RODO. Obecnie opisywane powyżej postępowanie objęło grupę 680 dzieci;
2. stwierdzone w omawianej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ dotyczy
przetwarzania danych szczególnej kategorii osób (dane biometryczne dzieci);
3. umyślny charakter naruszenia (decyzja o wprowadzeniu czytników była świadoma);
4. administrator nie podjął działań w celu zminimalizowania potencjalnej szkody niemajątkowej, ponieważ nie
kwalifikował swojego działania jako niezgodnego z prawem;
5. stwierdzone naruszenie nie ma związku z wdrożeniem i jakością stosowanych przez Szkołę – na mocy art. 25
i 32 RODO – środków organizacyjnych i technicznych;
6. Prezes UODO nie stwierdził, żeby Szkoła uprzednio dopuściła się naruszenia przepisów RODO;
7. naruszenie dotyczyło danych biometrycznych - kategorii danych podlegających szczególnej ochronie;
8. Prezes UODO pozyskał informację o bezprawnym przetwarzaniu ww. danych osobowych przez Szkołę z urzędu;
9. nie zostały wcześniej zastosowane wobec Szkoły środki, o których mowa w art. 58 ust. 2 RODO;
10. Szkoła nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych
mechanizmów certyfikacji na mocy art. 42 RODO.
W związku z powyższym wskazać należy, że kara pieniężna w wysokości 20 000,00 zł spełnia w ustalonych
okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO ze względu na powagę
stwierdzonego naruszenia w kontekście podstawowej zasady RODO – minimalizacji danych, określonej w art. 5
RODO.

Wydaje się, że Szkoła podjęła decyzje o wprowadzeniu czytników bez przeprowadzenia analizy, w jaki sposób taka
metoda weryfikacji uczniów jest adekwatna do celu w jakim dane były wykorzystywane. Pozyskiwanie i przetwarzanie
danych biometrycznych z samego faktu przetwarzania danych tej kategorii ingeruje w stopniu wysokim w sferę
prywatności osoby, której dane dotyczą. Stanowi tym zatem zagrożenie zarówno dla podmiotów danych, jak i samej
Szkoły, która odpowiada za zapewnienie bezpieczeństwa takich danych. Jakikolwiek incydent bezpieczeństwa
groziłby udostępnieniem wysoce wrażliwych danych osobowych. Stworzono tym samym ogromne ryzyko, któremu
można było z łatwością zapobiec.
Decyzja Prezesa UODO z 18.2.2020 r., ZSZZS.440.768.2018

Wydaje się, że Szkoła podjęła decyzje o wprowadzeniu czytników bez przeprowadzenia analizy, w jaki sposób taka metoda weryfikacji uczniów jest adekwatna do celu w jakim dane były wykorzystywane. Pozyskiwanie i przetwarzanie danych biometrycznych z samego faktu przetwarzania danych tej kategorii ingeruje w stopniu wysokim w sferę prywatności osoby, której dane dotyczą. Stanowi tym zatem zagrożenie zarówno dla podmiotów danych, jak i samej Szkoły, która odpowiada za zapewnienie bezpieczeństwa takich danych. Jakikolwiek incydent bezpieczeństwa groziłby udostępnieniem wysoce wrażliwych danych osobowych. Stworzono tym samym ogromne ryzyko, któremu można było z łatwością zapobiec. Decyzja Prezesa UODO z 18.2.2020 r., ZSZZS.440.768.2018