Kara RODO – dla szkoły w Gdańsku.
Sprawa jest bardzo świeża, dlatego spieszę donieść, że pojawiła się kolejna kara z tytułu naruszenia przepisów ochrony danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych, w dniu 5 marca 2020 r. nałożył na szkołę podstawową nr 2 w Gdańsku karę w wysokości 20 000,00 PLN. Naruszenie polegało na pobieraniu odcisków palców (czyli danych biometrycznych) od uczniów, którzy korzystali ze stołówki.
Jak wyglądało naruszenie? Za co kara RODO?
Uczniowie, którzy chcieli korzystać ze stołówki musieli zostawić swój odcisk palca przed wejściem celem identyfikacji i sprawdzenia, czy opłacili posiłki w danym dniu. Tych uczniów było 680, bo nie każdy rodzic wyraził zgodę na tę formę identyfikacji.
Co gorsze, uczniowie, którzy nie znaleźli się w wykazie danych z odciskami palców musieli czekać i wchodzili na końcu kolejki. Pierwszeństwo miały dzieci, których odcisk palca jest rzapisany w systemie.
Szkoła wyjaśniła, że nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Dane związane z czytnikiem na odcisk palca gromadzi się tylko w samym czytniku w postaci zapisu ciągu bajtów. W trakcie odczytu czytnik porównuje czy istnieje odpowiedni ciąg bajtów, jeśli tak, to wysyła do programu tylko numer pozycji. Numer pozycji przypisanoów do konkretnego dziecka.
Kto posiadał dostęp do danych?
Dostęp do danych znajdujących się w czytniku posiadają dwie osoby: administrator systemu i upoważnieni pracownicy Szkoły.
Jak szkoła chroni dane?
Program do zczytywania i przechowywania odcisków palców (system ewidencji wpłat i posiłków) zainstalowano na serwerze szkolnym.
Serwer chroni hasło przed nieuprawnionym dostępem i ochrona antywirusowa z firewallem. Jak wspomniano wyżej, dostęp do serwera posiada upoważniony pracownik szkoły.
Kiedy usuwano dane?
Szkoła wyjaśniła, że usuwa dane po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej. Po usunięciu robi kopię archiwizacyjną na karcie micro SD, którą przechowuje w zabezpieczonym pomieszczeniu.
Rodzic może też wycofać zgodę na korzystanie z czytnika biometrycznego. Wówczas, odcisk palca szkoła przechowuje do czasu rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej lub do czasu zakończenia roku szkolnego, a najpóźniej do września, jeśli rodzic nie przedłuży umowy.
Jakie przepisy RODO naruszyła szkoła?
Według Prezesa UODO, szkoła w Gdańsku naruszyła następujące przepisy:
- art. 5 ust. 1 lit. c RODO, czyli zasadę minimalizacji danych
- art. 9 ust. 1 RODO, czyli zakaz przetwarzania danych osobowych wrażliwych.
Jednocześnie, PUODO nakazał szkole:
- usunięcie danych osobowych w zakresie cyfrowego przechowywania linii papilarnych uczniów oraz
- zaprzestania zbierania danych osobowych w ww. postaci dzieci korzystających z usług stołówki.
Nałożył też na szkołę karę w wysokości 20 000 zł!
Kara RODO – Dlaczego PUODO nałożył taką karę i kazał przestać przetwarzać linie papilarne uczniów?
Bardzo istotnymi kwestiami jest to, że w sprawie:
- Szkoła przetwarzała dane biometryczne
- Są to też dane wrażliwe
- To również dane dzieci, czyli podmiotów szczególnie chronionych
- Szkoła korzystała z innych, alternatywnych form identyfikacji uprawnień dzieci do obiadów na stołówce tj. kart elektronicznych oraz na podstawie nazwiska i numeru umowy,
- Uczniowie identyfikujący się biometrycznie mieli pierwszeństwo
Prezes uznał, że szkoła nie miała podstawy prawnej do przetwarzania danych osobowych uczniów w postaci linii papilarnych.
Uznał również, że:
- naruszenie miało znaczną wagę i poważny charakter, bo dotyczyło przetwarzania danych szczególnej kategorii i to do tego jeszcze dzieci,
- trwa ono do chwili obecnej
- było umyślne – świadoma decyzja szkoły w celu identyfikacji dzieci,
Dane szczególnej kategorii
Zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Z kolei zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Dane biometryczne są szczególnie wrażliwe i wymagają szczególnej ochrony. Co do zasady, nie powinny być w ogóle przetwarzane, a jeśli już są to powinna istnieć odpowiednia podstawa prawna ich przetwarzania, czyli np. jakaś ustawa.
Ewentualny wyciek danych biometrycznych w postaci linii papilarnych dzieci może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych. Taki wyciek nie będzie też możliwy do odwrócenia w czasie, nawet po osiągnięciu przez dziecko pełnoletności.
Kiedy można przetwarzać dane biometryczne?
Przetwarzanie szczególnej kategorii danych osobowych, do której należą dane biometryczne, jak wskazuje art. 9 ust. 1 RODO w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione.
Zakaz nie znajduje zastosowania, m.in. gdy jest spełniony jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody
Więcej warunków zawiera art. 9 ust. 2 RODO i jest to katalog zamknięty, co oznacza, że nie można dodać już żadnej innej przesłanki!
Spełnienie co najmniej jednej ze wskazanych przesłanek legalizacyjnych stanowi o zgodnym z prawem przetwarzaniu danych osobowych.
Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO.
Do zasad tych zalicza się między innymi minimalizacja danych (lit. c). Zasada ta wymaga, by proces przetwarzania był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Czy tak było w omawianej sprawie? Prezes uznał, że nie.
Zgoda rodzica nie może być uznana za przesłankę legalizującą przetwarzanie danych biometrycznych dzieci. Powinien być nią przepis prawa, który w tej sytuacji nie istnieje.
Co więcej, takie działanie wprowadza nierówne traktowanie dzieci, bo tylko te, które zostawiły odcisk palca wchodziły jako pierwsze. Pozostali czekali na końcu kolejki! Zapis regulaminu stołówki promował więc dzieci z identyfikacją biometryczną.
Na jakiej podstawie szkoła przetwarza dane dzieci?
Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę.
W związku z tym, podstawą przetwarzania danych osobowych dzieci jest art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), a nie zgoda rodziców.
Z decyzji PUODO: oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej.
Żaden z nich nie zezwala szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.
Wnioski dla Ciebie – podsumowanie
Z nowej sprawy wynika, że nie powinieneś przetwarzać danych biometrycznych, czy nawet innych danych wrażliwych bez odpowiedniej podstawy prawnej.
Zgoda też ma znaczenie, ale tylko wtedy, gdy nie można znaleźć innej podstawy prawnej albo wtedy, gdy przetwarzanie danych wrażliwych jest konieczne do osiągnięcia celu i można go osiągnąć tylko w taki sposób.
Jak widać Prezes dosyć restrykcyjnie podchodzi do sprawy przetwarzania danych osobowych, szczególnie tych wrażliwych i szczególnie jeśli dotyczy to dzieci.
Jeśli masz do czynienia z tymi dwoma elementami w swojej działalności, koniecznie sprawdź swoją analizę ryzyka. Zobacz też rejestr czynności przetwarzania i procedury związane z przetwarzaniem danych w Twojej firmie.
Zobacz, czy uwzględniłeś w nich i wdrożyłeś odpowiednie środki techniczne i organizacyjne zabezpieczające te dane przed wyciekiem. A tym samym przed naruszeniem!
Mam nadzieję, że wpis był dla Ciebie pomocny i wyciągnąłeś własne wnioski.
O tym jak uniknąć najkosztowniejszych luk RODO w polskich firmach będę mówić w mini kursie video, który rusza w przyszłym tygodniu (mam nadzieję!). Jeśli nie chcesz go przegapić, dopisz się do mojego newslettera pobierając prezent w postaci Audytu strony www i działalności online >>>
Jeśli chcesz przeczytać o innych karach nałożonych przez PUODO w Polsce to zajrzyj do tych wpisów >>>tutaj:
A jeśli interesuje Cię pełny tekst decyzji Prezesa UODO dot. kara RODO -szkoła w Gdńsku, to znajdziesz go TUTAJ.
Wszystkiego Legalnego!
Ilona Przetacznik
Stan prawny na dzień 5.03.2020 r.
Ilona Przetacznik
Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.
