Obiad w stołówce szkolnej na odcisk palca

Dane osobowe, które są zbędne do realizacji celu, nie powinny być przetwarzane. Niemniej jednak, co trzeba wyraźnie podkreślić, odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu (taka właśnie wykładnia została zaprezentowana przez Prezesa UODO), uznać należy za interpretacją zbyt daleko idącą. Sprawa, którą rozpatrywał WSA w Warszawie dotyczyła przetwarzania danych biometrycznych uczniów korzystających ze stołówki szkolnej. Problem jest jednak szerszy bo dotyczy wykładni przepisów RODO dotyczących zasady adekwatności przetwarzania danych osobowych.

Jak zorganizowany był system

Szkoła jeszcze na etapie postępowania przez Prezesem Urzędu Ochrony Danych Osobowych wyjaśniła, że korzysta z czytnika biometrycznego, który umieszczony jest przy wejściu do stołówki szkolnej, a który identyfikuje dzieci pobierające posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu. Skarżąca szkoła wskazała, że pozyskuje dane biometryczne swoich uczniów na podstawie pisemnej zgody rodzica (opiekuna prawnego). Szkoła wskazała również, iż nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Dane związane z czytnikiem na odcisk palca gromadzone są tylko w samym czytniku, w postaci zapisu ciągu bajtów. Skarżąca Szkoła podniosła, że w trakcie odczytu czytnik porównuje, czy istnieje odpowiedni ciąg bajtów, a jeśli tak, to wysyła do programu tylko numer pozycji, który przypisany jest do konkretnego dziecka. Strona skarżąca podkreśliła jednocześnie, że dostęp do danych znajdujących się w czytniku posiadają dwie osoby: administrator systemu i intendent - upoważnieni pracownicy skarżącej Szkoły. Zgodnie z wyjaśnieniami, rodzic w umowie o korzystanie z posiłków w stołówce szkolnej ma możliwość wyboru: wyrażenia zgody lub niewyrażenia zgody na korzystanie z czytnika na odcisk palca. Szkoła zapewniła jednocześnie, że rodzice są informowani o tej możliwości na stronie internetowej stołówki szkolnej. Strona skarżąca poinformowała ponadto, że po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku zostaje usunięty. Po usunięciu, jak podniosła skarżąca Szkoła, na nowo zostaje robiona kopia archiwizacyjna na karcie micro SD, która przechowywana jest w zabezpieczonym pomieszczeniu.

W kolejnych wyjaśnieniach Szkoła poinformowała ponadto, że w roku szkolnym 2018/2019 do Szkoły uczęszczało 1247 uczniów, z czego 603 korzystało z czytnika biometrycznego, a 2 uczniów z alternatywnego systemu identyfikacji. Strona skarżąca podniosła również, że w roku szkolnym 2019/2020 do szkoły uczęszcza 1121 uczniów, z czego 680 uczniów korzysta z czytnika biometrycznego, a 4 uczniów z alternatywnego systemu identyfikacji. W sytuacji, gdy rodzic danego dziecka nie wycofa zgody na korzystanie przez nie z czytnika biometrycznego, a dziecko przestanie korzystać z usług stołówki szkolnej (bez rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej), wzorzec biometryczny zapisany w czytniku przechowywany jest do czasu rozwiązania lub do zakończenia roku szkolnego. Według zapewnień strony skarżącej, wzorzec biometryczny zapisany na czytniku i na karcie SD pozostaje na czas wakacji. W przypadku nieprzedłużenia umowy o korzystanie z obiadów w stołówce szkolnej na nowy rok szkolny ww. dane usuwane są najpóźniej do dnia 30 września każdego roku. Szkoła zauważyła jednocześnie, że po podpisaniu umowy i wyrażeniu zgody przez rodzica na korzystanie z czytnika biometrycznego dziecko rejestrowane jest w systemie ewidencji wpłat i posiłków (SEWiP) poprzez wprowadzenie jego imienia, nazwiska, klasy oraz imienia, nazwiska, adresu e-mail, telefonu kontaktowego rodzica. Następnie, jeśli rodzic wyraził zgodę, dochodzi do rejestracji wzorca odcisku palca dziecka w czytniku. Skarżąca Szkoła podniosła, że od tego momentu wzorzec identyfikowany jest przez ww. system za pomocą liczby porządkowej w czytniku, który w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu odciskowi palca wysyła do systemu numer, który w systemie przypisany jest danej osobie i następie odczytuje status obiadu (opłacony/nieopłacony).

Stanowisko Prezesa Urzędu Ochrony Danych Osobowych

Prezesa UODO stwierdził, że przetwarzanie szczególnej kategorii danych osobowych, do której należą dane biometryczne, regulowane jest w art. 9 ust. 1 RODO, zgodnie z którym, przetwarzanie danych osobowych ujawniających dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione. Organ nadzorczy wskazał, że katalog wymieniony w art. 9 ust. 2 RODO jest zamknięty, zaś każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, zdaniem organu, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

Dodatkowo, organ odwoławczy zauważył, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, w tym m.in. z zasadą minimalizacji danych (art. 5 ust. lit. c RODO), która wymaga, by proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.

Ustosunkowując się do wyjaśnień skarżącej Szkoły, która wskazała, że przetwarzanie danych biometrycznych znajduje oparcie w dobrowolnej zgodzie rodziców uczniów (opiekunów prawnych), Prezes UODO - powołując się na definicję zgody wyrażoną w art. 4 ust. 11 RODO, a także na motyw 43 Preambuły RODO - stwierdził, że aby jednak można było mówić o dobrowolności wyrażenia zgody, nie powinna stanowić ona ważnej podstawy prawnej przetwarzania danych osobowych w szczególności w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą a administratorem. W tym miejscu, organ nadzorczy zauważył, przywołując brzmienie art. 106 ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe (tekst jednolity Dz. U. z 2019 r., poz. 1148), że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją zadania szkoły polegającego na prowadzeniu stołówki nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO. W ocenie organu nadzorczego, uznać należy w konsekwencji, że realizując usługę polegającą na prowadzeniu stołówki, skarżąca Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Tymczasem, jak podniósł organ nadzorczy, przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie skarżąca Szkoła może pozyskiwać od swoich uczniów, lecz żaden z nich nie zezwala tej placówce na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych uczniów, których przetwarzanie jest co do zasady zakazane na podstawie art. 9 ust. 1 RODO, w celu realizacji świadczenia w postaci usług stołówki szkolnej.

W takiej sytuacji, zdaniem Prezesa UODO, zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. Zdaniem organu nadzorczego, uznanie faktu wyrażenia zgody przez rodziców dzieci, jako okoliczności legalizującej pobranie od dzieci innych danych, niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów.
Na marginesie, Prezes UODO podkreślił jednocześnie, że zasady wydawania obiadów umieszczone na stronie internetowej stołówki prowadzonej przez skarżącą Szkołę wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.
Mając powyższe na względzie, organ nadzorczy uznał w konsekwencji, że skarżąca Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej.

W tej sytuacji, organ nadzorczy stwierdził, że z uwagi na to, że skarżąca Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, uznać należy, że jej działanie narusza art. 9 ust. 1 RODO oraz zasadę minimalizacji danych ustanowioną w RODO, zgodnie z którą skarżąca Szkoła, jako administrator danych, nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów.

Tymczasem, jak uznał organ nadzorczy, przetwarzanie danych biometrycznych uczniów nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Zdaniem organu nadzorczego, wyżej wymienioną identyfikację ucznia skarżąca Szkoła może bowiem przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej. Tym bardziej, że - jak zauważył organ nadzorczy - z zebranego materiału dowodowego wynika, że skarżąca Szkoła umożliwia korzystanie z usług stołówki szkolnej za pomocą odcisku linii papilarnych, karty elektronicznej lub na podstawie nazwiska i numeru umowy, co oznacza zatem, w Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.

Sąd stanął po stronie Szkoły

Zdaniem Sądu, nie można zgodzić się ze stanowiskiem zaprezentowanym przez organ nadzorczy, jakoby pisemna zgoda nie świadczyła o spełnieniu przez administratora spornych danych przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO.

W tej sytuacji, Sąd uznał, że - wbrew stanowisku organu nadzorczego - skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.
Zasada minimalizacji danych wprowadza kryteria limitacyjne ograniczające zbieranie i dalsze przetwarzanie danych osobowych, co prowadzi do ograniczenia zakresu przetwarzania danych opartego na kryterium niezbędności, co oznacza, by przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.

Koresponduje to ze wspomnianym wyżej motywem 39 Preambuły RODO, który wskazuje, że dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Skarżąca Szkoła podkreślała w toku postępowania, że wszystkie alternatywne sposoby weryfikacji nie spełniały w pełni założonego celu weryfikacji uiszczenia odpłatności za posiłek w określonym czasie, tj. szkolnej przerwy. Szkoła podkreślała w wyjaśnieniach przedstawionych organowi nadzorczemu, że wprowadzała wcześniej inne sposoby weryfikacji odpłatności za posiłek i dopiero widząc problemy, na wniosek Rady Rodziców i za pisemną zgodą rodzica, zdecydowała się na wprowadzenie czytnika biometrycznego na odcisk palca. Szkoła wskazała w konsekwencji, że dbając o poszanowanie zasady minimalizacji danych osobowych, najpierw stosowała system weryfikacji odpłatności za obiad na kartę obiadową, zaś czytnik na odcisk palca nie został wprowadzony jako pierwszy, ale w następstwie czytnika na kartę obiadową i dopiero wówczas, gdy poprzednio stosowane metody weryfikacji danych okazały się nie spełniać pokładanych oczekiwań.

W ocenie Sądu, zaprezentowana przez organ nadzorczy wykładnia art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych jest błędna, gdyż w sposób nieuprawniony pomija w ramach jej oceny istotny aspekt adekwatności i stosowności, co prowadzi w konsekwencji do zbyt rygorystycznego postrzegania tej zasady. Użyte w przepisie art. 5 ust. 1 lit. c RODO określenie "adekwatne" oznacza "odpowiednie, zgodne, proporcjonalne, nienadmierne" i może być traktowane jako synonim słowa "stosowne". Adekwatność i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów.

Zdaniem Sądu, wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania. Sąd zwrócił uwagę, że w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Niemniej jednak, w ocenie Sądu, przyjęcie tak restrykcyjnej wykładni, jaką zaprezentował organ nadzorczy, uniemożliwiałoby w praktyce przetwarzanie jakichkolwiek innych danych, niż tylko te, bez których cel nie może zostać osiągnięty.

Wyrok WSA w Warszawie z 7 sierpnia 2020 r. sygn.II SA/Wa 809/20.

Orzeczenie jest nieprawomocne.

Źródło: CBOSA

Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Obiad w stołówce szkolnej na odcisk palca

Popularne

WSA: Nie można zaskarżyć powołania komisji konkursowej na dyrektora szkoły

System finansowania szkół niepublicznych kształcących dorosłych: problemy i wyzwania

Zmiany w ustawie o systemie oświaty. MEN przedstawił projekt

Kształcenie dzieci z Ukrainy. Znamy projekt rozporządzenia MEN

Zwiększenie środków na program „Podróże z klasą”

Metan nie zatrzymał prac: Karpatka rozpoczyna drążenie tunelu na S19

Pakiet zmian w fizjoterapii

Dobrymi chęciami piekło jest wybrukowane

Sprzęt medyczny za miliony niewykorzystany: raport NIK

Konkurs na poprawę bezpieczeństwa na przejazdach kolejowo-drogowych

„Blankiety widmo”, czyli Płacicie Więcej, a my Pracujemy Wolniej