A teraz ciekawostka: przetwarzanie danych biometrycznych jest co do zasady zakazane — chyba że administrator prawidłowo „rozpozna” jedną z przesłanek legalizujących przetwarzanie danych osobowych obejmujących linie papilarne. A wcale nie na marginesie ciekawy głos PUODO w/s sporu: czy zgoda jest „najlepszą” przesłanką przetwarzania danych osobowych, czy jednak — nawet dobrowolna — odebranie zgody nie jest właściwe, jeśli istnieje „trafniejsza” podstawa (w art. 6 ust. 1 RODO)? — a wszystko to w kontekście głośnej decyzji dotyczącej wydawania posiłków na szkolnej stołówce (decyzja PUODO z 18 lutego 2020 r., ZSZZS.440.768.2018).
Sprawa dotyczyła przetwarzania danych osobowych (odcisków palców) dzieci korzystających z przyszkolnej stołówki. Dane biometryczne były stosowane, za zgodą rodziców, do identyfikacji dziecka i weryfikacji czy posiłek został opłacony (na przeszło 1,1 tys. uczniów 680 korzystało z biometrii, a 4 z „alternatywnego” systemu identyfikacji).
Zdaniem szkoły nie prowadziła ona zbioru obrazów linii papilarnych, albowiem dane związane z odczytem były gromadzone w samym czytniku („w postaci zapisu ciągu bajtów”), zaś prawidłowe skojarzenie osoby z ciągiem bajtów oznaczało wysłanie do programu „tylko” numeru pozycji (przypisanego do konkretnego dziecka; w bazie były też imię, nazwisko, klasa oraz dane rodzica). W praktyce korzystanie z biometrii wiązało się z dodatkowym bonusem: ci inni są wpuszczani na stołówkę dopiero po tych biometrycznych.
art. 4 pkt 14 RODO
Na użytek niniejszego rozporządzenia:
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne
W wydanej decyzji PUODO przypomniał, że co do zasady przetwarzanie szczególnych kategorii danych osobowych jest zakazane — lecz dozwolone pod spełnieniu jednej z przesłanek legalizacyjnych (art. 9 ust. 1-2 RODO). Jedną ze szczególnych kategorii danych osobowych są dane biometryczne rozumiane jako wynikające z przetwarzania technicznego dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych, które potwierdzają lub choćby umożliwiają identyfikację osoby; do danych biometrycznych zalicza się m.in. wizerunek twarzy i dane daktyloskopijne. Dane biometryczne są szczególnie wrażliwe — już przez to, że są zasadniczo niezmienne w czasie — albowiem ewentualny wyciek może powodować poważne ryzyko dla praw i wolności jednostki. Rozporządzenie wymaga także szczególnej ochrony przy przetwarzaniu danych dzieci (motyw 38 RODO).
art. 9 ust. 1 RODO
Przetwarzanie szczególnych kategorii danych osobowych
Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
W ocenie PUODO przetworzenie odcisku palca na zapis cyfrowy tworzy wzorzec biometryczny linii papilarnych, który po „dwuetapowym” zabiegu (do odcisku przypisany jest numer, dopiero „dalej” numer do człowieka — zatem można zidentyfikować konkretną osobę) oczywiście stanowi dane biometryczne w rozumieniu RODO.
Jedną z przesłanek legalizujących przetwarzanie szczególnych kategorii danych jest zgoda, która jednak musi być dobrowolna, konkretna, świadoma i jednoznaczna (art. 4 ust. 11 RODO) — dobrowolność zgody wyklucza wyraźny brak równowagi między administratorem i podmiotem (motyw 43 RODO). Jednakże biorąc pod uwagę, że organizowanie stołówek jest ustawową kompetencją szkoły, podstawą przetwarzania danych osobowych dzieci nie mogła być zgoda, lecz niezbędność (w rozumieniu art. 6 ust. 1 lit. e RODO) — szkoła przetwarza dane osobowe uczniów, w zakresie niezbędnym do realizacji ustawowych zadań, na podstawie przepisu prawa, nie na podstawie odrębnej zgody rodziców — ale szkoła jest uprawniona do przetwarzania tych tych danych, które są niezbędne do realizacji jej obowiązków.
Zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie.
Uzyskanie zgody na przetwarzanie innych danych osobowych niż określonych przepisami stanowi przykład obejścia prawa — zwłaszcza, że w praktyce prowadzi do nierówności dzieci w kolejce do okienka.
Oznacza to, że przetwarzanie danych biometrycznych przez szkołę nie mieści się w żadnej z podstaw prawnych wskazanych w art. 9 ust. 2 RODO, co oznacza, że doszło do naruszenia zakazu przetwarzania danych „wrażliwych” oraz zasady minimalizacji przetwarzanych danych (zakazu przetwarzania danych ponad miarę — bo przecież identyfikacja dzieci na stołówce jest możliwa bez pobierania odcisków palców — nb. szkoła umożliwiała identyfikację przy użyciu karty elektronicznej (legitymacji szkolnej?) — i to był jeden z systemów „alternatywnych”).
Dane biometryczne mogą być wykorzystywane m.in. w celach zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji w celu weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach, wydawaniu dokumentów identyfikacyjnych (paszportów), kontroli dostępu do określonych sfer bezpieczeństwa — w przypadkach tych procesy te mogą być rozważane jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu, a zakres wykorzystywanych danych za adekwatny. Tymczasem weryfikacja tego kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi w ocenie organu zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.
Z tego względu w wydanej decyzji PUODO:
- nakazał szkole usunięcie danych osobowych w postaci przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej i zaprzestanie dalszego zbierania danych biometrycznych w celu „segregacji” uczniów korzystających z jadłodajni;
- nałożył na szkołę karę pieniężną w wysokości 20 tys. złotych (czyli aż 20% ustawowego limitu — por. art. 102 ust. 1 ustawy o ochronie danych osobowych).
Zamiast komentarza: generalnie nie mam zastrzeżeń, bo też jestem zdania, że tak technokratyczne podejście (zwłaszcza do dzieci ustawiających się w kolejce na stołówce) należy tępić. Natomiast sobie jeszcze raz powtórzę: „zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie” (bo przyznam, że osobiście mam pogląd odmienny — ale ostrożnościowo warto będzie zapamiętać stanowisko PUODO).