20 tysięcy zł kary dla Szkoły w Gdańsku za naruszenie RODO

odciśnięta dłoń

Za co kara?

Prezes UODO nałożył karę finansową na Szkołę Podstawową nr 2 w Gdańsku za niezgodne z prawem przetwarzanie danych szczególnej kategorii w postaci danych biometrycznych.

W jakiej wysokości kara?

Kara w wysokości 20 tysięcy zł co stanowi 20% maksymalnej kary jaką UODO może nałożyć na podmiot publicznych zgodnie z ograniczeniem jakie przewiduje krajowa Ustawa o Ochronie Danych Osobowych z 10 maja 2018 roku.

Mój Komentarz

Biorąc pod uwagę cel w jakim Szkoła wykorzystywała biometrię dla niektórych wydaje się to szokujące, aby w szkole do skorzystania ze stołówki uczeń musiał skanować odcisk swojego palca. Jednak osoby, które spędzają dużo czasu w oświacie doskonale zdają sobie sprawę, że szkoły prześcigają się we wdrażaniu innowacyjnych rozwiązań, a to multimedialne tablce, roboty do programowanie, drukarki 3D, wirtualne gazetki, blogi, fora, portale społecznościowe, mini telewizja czy szkolne radio. 

W całym tym gąszczu pomysłów i rozpędzonych działań należy zauważyć, że RODO nakłada na Administratora obowiązek, o którym się dość niewiele mówi w jednostkach oświatowych „privacy by design”, o którym mowa w art. 25 czyli uwzględnienie ochrony danych osobowych w fazie projektowania. Co to oznacza w praktyce? No nic innego jak zastanowienie się, czy wdrożenie jakiegoś rozwiązania nie ingeruje zbytnio w prywatność osób, których dane przetwarzamy, czy mamy do takiego przetwarzania prawo, czy jest ono adekwatne do celu w jakim przetwarzamy dane.

Na tym ostatnim chciałbym się skupić, a mianowicie na celu…. Niestety wśród wielu Administratorów i o zgroza niektórych Inspektorów, króluje podejście, brak podstawy prawnej to właściwa jest zgoda… 

Już Grecki odpowiednik naszego PUODO wskazał, że zbieranie zgody, gdy nie jest ona właściwą przesłanką jest nieprawidłowe:

Policjant na tle odcisku palca

Jak widać Prezesowi UODO taka praktyka też się nie spodobała, a czemu?

Wszystko widać w decyzji i komentarzu UODO do tej decyzji:
„W tej sprawie trzeba podkreślić, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka. Ponadto szkoła umożliwia korzystanie z usług stołówki szkolnej nie tylko za pomocą odcisku linii papilarnych, ale i karty elektronicznej lub na podstawie nazwiska i numeru umowy. Zatem, w Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.”

Czy to wszystko? Niestety nie, jak czytamy dalej:
„W ukaranej Szkole Podstawowej nr 2, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne.”

Czy stanowisko Prezesa nie jest zbyt surowe?
W mojej ocenie Szkoła została potraktowana w sposób bardzo łagodny, gdyż jak sam PUODO wskazał „Prezes UODO w uzasadnieniu swojej decyzji podkreślił, że szczególnej ochrony danych osobowych wymagają dzieci,. Co więcej, w omawianej sprawie przetwarzane dane są szczególnych kategorii. System biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.”

Należy zwrócić uwagę na kilka elementów:

  • Społeczny, gdyż problem dotyka dzieci, a one wymagają szczególnej ochrony zgodnie z motywem 38 preambuły
  • zgodności z zasadą adekwatności opisaną w art. 5 ust. 1 lit. c)
  • zbierane w konkretnych prawnie uzasadnionych celach art. 5 ust. 1 lit. b)
wyjaśnienie szkoły, że nie zbierają odcisków

Dane biometryczne? 

„Nie, my tylko przetwarzamy odcisk na kod elektroniczny, który zapisywany jest w urządzeniu”.
W ten sposób tłumaczyła się szkoła i próbowała zakłamywać rzeczywistość, że nie przetwarza danych biometrycznych. 

Czemu to jest zakłamywanie rzeczywistości?

Gdyby przyjąć tezę szkoły, że oni „przetwarzają tylko ciąg bajtów” za słuszną to każde przetwarzanie w systemie IT nie było by przetwarzaniem danych osobowych, gdyż polega na naprzemiennym jest prąd, nie ma prądu (1,0).

No to czym właściwie jest ta biometria?

Nie trzeba obawiać się, że ktoś zostawi odcisk palca na szklance lub na lustrze w łazience czy też o zgroza odcisk stopy na pisaku 😉 

Z ratunkiem nam przychodzi tu art. 4 pkt 14) RODO:

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. 

Odpowiedź, więc praktycznie nasuwa się sama, musimy mieć narzędzia, identyfikację i ślad po człowieku to daje nam dane biometryczne.

Wróćmy do naszego bohatera czy SP2 w Gdańsku:

  • czy mieli specjalne narzedzie np. skaner odcisków palca, który przetwarza linie papilarne na zapis matematyczny?

Tak, mieli

  • Czy mieli mozliwośc za jego pomocą jednoznacznie zidentyfikować osobę fizyczną?

Tak, i właśnie to robili

  • Czy mieli ślad po człowieku?

Tak, w postaci odcisku palca, którego mimo iż nie zapisywali to porównywali go z zapisem w bazie

 

odcisk palca z punktami odniesienia

Co złożyło się na karę:

Szkoła wyszła z założenia, że nie zbiera danych biometrycznych, co okazało się błędną tezą.

Zbierali zgodę od rodziców mimo, iż przepisy zezwalają na przetwarzanie danych osobowych w celu organizacji i rozliczenia stołówki.

Przyjęli błędne założenie, że jak zbierają dane nadmiarowe to potrzebna zgoda od rodziców, przy czym zasada minimalizmu mówi o czym innym.

Dzieci, których rodzice nie wyrazili zgody na przetwarzanie biometrii mogły czuć się dyskryminowane.

dzieci idą do szkoły

W tym całym szkolnym „wyścigu szczurów” pamiętajmy, że dobro uczniów, ich prywatność oraz poczucie bezpieczeństwa to wartości, które dla placówek oświatowych powinny być wartościami nadrzędnymi. 

Zawsze zachęcam dyrektorów do innowacyjnych rozwiązań i dynamicznego rozwoju placówek jednak muszą te działania być konsultowane z Inspektorem Ochrony Danych co daje im pewność, że rozwiązania, które wdrażają są zgodne z prawem i nie ingerują w sposób nadmierny w prywatność.

Poniżej decyzja Prezesa Urzędu Ochrony Danych Osobowych
ZSZZS.440.768.2018

Oraz komentarz na stronie urzędu uodo.gov.pl

Dla mnie w tej decyzji jest jeszcze jednen ważny element, który pokazuje w którą stronę zmierza Prezes UODO i jego kontrolerzy, a cieszy mnie to, gdyż zmierzają w tym samym kierunku co i ja 🙂

cytat z decyzji:
„Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania”. W tej decyzji kolejny raz UODO potwierdza, że gdy przetwarzanie wynika z przepisu prawa lecz jest uprawnieniem to podstawą jest art. 6 ust. 1 lit. e), a gdy przetwarzanie jest obowiązkowe art. 6 ust. 1 lit. c), jest to o tyle istotne, gdyż przy lit. c) podmiotowi danych nie przysługuje prawo sprzeciwu.

Chętnych zapraszam na warsztaty, które będę prowadził 30 marca w Częstochowie, a obiecuję, że temat ten będzie mocno poruszony.

Warsztaty szkoleniowe – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych

2 myśli na “20 tysięcy zł kary dla Szkoły w Gdańsku za naruszenie RODO”

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *