Podstawa prawna naruszenia

Art. 5, art. 9 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Szkoła Podstawowa w Gdańsku, dla której organem prowadzącym jest Miasto Gdańsk, naruszyła przepisy dotyczące ochrony danych osobowych poprzez przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. Naruszenie polegało na zbieraniu i przetwarzaniu odcisków palców dzieci bez odpowiedniej podstawy prawnej.

Opis wydarzeń

1. Wprowadzenie systemu biometrycznego: Szkoła korzystała z czytnika biometrycznego od września 2015 r. w celu identyfikacji dzieci pobierających posiłki w stołówce szkolnej. Dane były zbierane na podstawie pisemnej zgody rodziców.
2. Zakres przetwarzania: W roku szkolnym 2018/2019 z czytnika korzystało 603 uczniów, a w roku szkolnym 2019/2020 – 680 uczniów.
3. Proces przetwarzania danych: Dane biometryczne były przetwarzane w postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci. System porównywał te dane z zapisanymi wzorcami, aby zweryfikować uiszczenie opłaty za posiłek.
4. Naruszenie zasad RODO: Przetwarzanie danych biometrycznych dzieci odbywało się bez odpowiedniej podstawy prawnej, co naruszało zasadę minimalizacji danych oraz przepisy dotyczące przetwarzania danych szczególnej kategorii.
5. Decyzja Prezesa UODO: Prezes Urzędu Ochrony Danych Osobowych nakazał usunięcie danych biometrycznych oraz zaprzestanie ich zbierania. Nałożono również karę pieniężną w wysokości 20 000 zł.
6. Stanowisko szkoły: Szkoła zdecydowała się zaskarżyć decyzję Prezesa UODO.

6. Stanowisko Sądu:
   • Sąd uznał, że zgoda rodziców była wystarczającą podstawą prawną do przetwarzania danych biometrycznych.
   • Sąd stwierdził, że przetwarzanie danych biometrycznych było adekwatne i stosowne do celu, jakim była identyfikacja uczniów korzystających ze stołówki.
   • Sąd podkreślił, że zasada minimalizacji danych nie została naruszona, ponieważ przetwarzanie danych biometrycznych było uzasadnione i proporcjonalne.
7. Wynik Sprawy:
   • Sąd uchylił decyzję Prezesa UODO, uznając, że szkoła miała prawo przetwarzać dane biometryczne uczniów na podstawie zgody rodziców.
   • Sąd zasądził od Prezesa UODO na rzecz szkoły zwrot kosztów postępowania sądowego

Źródło

Pełna treść decyzji organu nadzorczego

Pełna treść orzeczenia sądowego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Alternatywne metody identyfikacji: Zastosowanie mniej inwazyjnych metody identyfikacji, takich jak karty elektroniczne lub identyfikacja na podstawie nazwiska i numeru umowy.
2. Edukacja i świadomość: Zwiększenie świadomości na temat ochrony danych osobowych i zasad przetwarzania danych biometrycznych.
3. Dane biometryczne: Aby dane zostały uznane za dane biometryczne, muszą łącznie spełniać następujące warunki, czyli być danymi osobowymi, które odnoszą się do określonych cech, na podstawie których – przy użyciu specjalnych metod technicznych – jest możliwa jednoznaczna identyfikacja osoby fizycznej lub potwierdzenie jej tożsamości.
4. Przykłady danych biometrycznych: linie papilarne, wygląd siatkówki lub tęczówki oka, owal twarzy, kształt małżowiny usznej, geometrię ręki, układ naczyń krwionośnych dłoni, głos i jego barwę.
5. Wykorzystywanie danych biometrycznych jedynie w celach:

6. • zapewnienia bezpieczeństwa osobowego,
   • zapewnienia bezpieczeństwa przemysłowego,
   • ochrony informacji,
   • weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach,
   • wydawania dokumentów identyfikacyjnych (paszportów),
   • kontroli dostępu do określonych sfer bezpieczeństwa.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu