Przetwarzanie danych biometrycznych — odcisków palców dzieci korzystających ze szkolnej stołówki — jest dozwolone

Czy przetwarzanie danych biometrycznych w postaci odcisków palców dzieci korzystających ze szkolnej stołówki — dla weryfikacji uprawnienia do obiadu, za zgodą rodziców — narusza zakaz przetwarzania danych wrażliwych? Czy odbieranie zgody na przetwarzanie papilariów jest przejawem „zgodomanii”, czy jednak RODO traktuje zgodę na przetwarzanie jako równorzędną przesłankę pozwalającą na przetwarzanie danych osobowych? Czy przetwarzanie danych o odciskach palców może być wreszcie traktowane jako naruszenie zasady minimalizacji danych — bo ten sam cel równie dobrze dałoby się osiągnąć w inny sposób?


przetwarzanie danych odcisków palców
Dałbym sobie rękę uciąć, że zawsze mówiłem, że zgoda jest równie dobrą — a mentalnie nawet najlepszą — przesłanką przetwarzania danych osobowych (fot. Magdalena Rudak, CC-BY-SA 3.0)

nieprawomocny wyrok WSA w Warszawie z 7 sierpnia 2020 r. (II SA/Wa 809/20)
1. Z uwagi na charakter przetwarzania (specjalne przetwarzanie techniczne), a także charakter samych danych, które dotyczą cech fizjologicznych i fizycznych, stwierdzić należy, że przetwarzane do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców dzieci stanowią dane biometryczne, służą bowiem do zautomatyzowanej weryfikacji uprawnienia konkretnej osoby fizycznej.
2. Podstawową przesłanką, uchylającą zakaz przetwarzania danych wrażliwych, jest zgoda osoby, której dane dotyczą.

Orzeczenie dotyczy opisywanej już na tutejszych łamach decyzji, w której PUODO stwierdził, że szkoła nie powinna przetwarzać danych osobowych w postaci linii papilarnych uczniów korzystających ze stołówki, nawet za zgodą rodziców — bo „zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie”, a poza dane biometryczne jako dane szczególnie wrażliwe nie mogą być przetwarzane w tak błahym celu („Przetwarzanie danych biometrycznych jest co do zasady zakazane”).

art. 4 pkt 14 rozporządzenia o ochronie danych osobowych
Na użytek niniejszego rozporządzenia:
14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne

W skardze na decyzję szkoła stwierdziła, że cyfrowo przetworzony obraz odcisku palca nie może być traktowany jako dane biometryczne, ponieważ nie pozwala sam w sobie na identyfikację określonej osoby. Niezależnie od tego zgoda na identyfikację dziecka w ten sposób była całkowicie dobrowolna, konkretna, świadoma i jednoznaczna; nie wiadomo przy tym dlaczego organ stwierdził, iż zgoda nie może być przesłanką legalizującą przetwarzanie danych osobowych i ocenił zgodę jako obejście prawa.

art. 5 ust. 1 lit. c) rozporządzenia o ochronie danych osobowych
Dane osobowe muszą być:
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)

Wojewódzki Sąd Administracyjny stwierdził, iż wbrew argumentacji szkoły informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego stanowią dane biometryczne. Zgodnie z definicją są to dane osobowe, które powstały wskutek przetwarzania technicznego i dotyczą określonych cech osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację jednostki ludzkiej (np. linie papilarne, wygląd siatkówki lub tęczówki oka, owal twarzy, kształt małżowiny usznej, geometrię ręki, układ naczyń krwionośnych dłoni, głos i jego barwę, wizerunek). Dla zakwalifikowania zapisu jako danych osobowych nie ma konieczności, by identyfikacja określonego człowieka była możliwa wprost na podstawie informacji — „wystarczy, aby możliwa była choćby pośrednia identyfikacja osoby, aby dane jej dotyczące stanowiły jej dane osobowe” — jak w przypadku określenia tożsamości dziecka w szkolnej stołówce.

art. 9 ust. 1-2 rozporządzenia o ochronie danych osobowych
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach (…)

Nie ma także wątpliwości, iż dane biometryczne stanowią szczególną kategorię danych osobowych (dane sensytywne, wrażliwe), zaś ich przetwarzanie jest co do zasady zakazane, chyba że administrator wykaże istnienie jednej z przesłanek dopuszczających przetwarzanie danych wrażliwych (art. 9 ust. 2 RODO). Każda z tych przesłanek ma charakter autonomiczny i niezależny, są równoprawne, zatem spełnienie jednej z nich oznacza, że przetwarzanie danych sensytywnych jest zgodne z prawem (przy czym niedopuszczalna jest ich wykładnia rozszerzająca). Kluczową przesłanką pozwalającą na przetwarzanie danych sensytywnych jest zgoda osoby„dobrowolne, konkretne, świadome i jednoznaczne okazanie woli”, w formie oświadczenia woli lub wyraźnego potwierdzającego działania. W toku postępowania szkoła wykazała, że przetwarza dane biometryczne uczniów dopiero po tym jak rodzice złożą wyraźne pisemne oświadczenie wyrażające zgodę na takie działania — co oznacza, iż została spełniona przesłanka uchylająca zakaz przetwarzania danych wrażliwych.

Przetwarzaniu danych biometrycznych w postaci odcisków palców dzieci korzystających ze szkolnej stołówki nie stoi na przeszkodzie zasada minimalizacji danych, w myśl której przetwarzanie powinno być ograniczone tylko do przypadków niezbędnych, których nie da się osiągnąć w inny sposób (art. 5 ust. 1 lit. c) RODO). Owszem, niedopuszczalne jest przetwarzanie danych, które są zbędne do realizacji celu, jednak przecież nie można też zapominać, iż „w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe”. Wbrew przedstawionej przez PUODO restrykcyjnej wykładni zasady minimalizacji danych, w której pominięto istotne aspekty adekwatności i stosowności, nie sposób przyjąć, iżby przetwarzanie papilariów było nadmierne dla zamierzanego celu lub też skutkowało nadmierną ingerencją w prywatność dziecka. Szkoła próbowała alternatywnych sposobów weryfikacji uprawnienia dziecka do obiadu, jednak karta elektroniczna się nie sprawdziła — sięgnięcie po rozwiązanie oparte na biometrii nie narusza RODO tylko przez to, że są prostsze metody uzyskania tego samego celu.

Finalnie sąd stwierdził, iż przetwarzanie danych biometrycznych uczniów w postaci odcisków palców w związku z korzystaniem ze szkolnej stołówki nie narusza ani zakazu przetwarzania danych sensytywnych, ani zasady minimalizacji danych, zatem decyzja o nałożeniu kary jako naruszająca zasadę praworządności polegała uchyleniu.

Zamiast komentarza: cieszy mnie przede wszystkim jednoznaczne stwierdzenie, że zgoda jest równorzędną przesłanką przetwarzania, zatem można przetwarzać dane osobowe w oparciu o zezwolenie zainteresowanej osoby, nawet jeśli potencjalnie można się oprzeć też na innej przesłance (przypomnijmy, że w decyzji PUODO padło zdanie, iż „zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie”). Cieszy mnie pogląd, iż hipotetyczna możliwość zrealizowania tego samego celu w oparciu o inne dane nie oznacza nadmiarowości w przetwarzaniu (czasem przecież nie wiadomo co mieści się w granicach jakiegoś tam rozsądku, a co wykracza).
Jednak w tym konkretnym przypadku — przypomnijmy, że chodziło o przetwarzanie danych biometrycznych (odcisków palców) przez szkołę, a więc element władztwa publicznego — mam jednak pewne wątpliwości, które biorą się już choćby z tego, że przecież gromadzenie danych o obywatelach podlega istotnemu ograniczeniu i jest dopuszczalne wyłącznie jeśli jest niezbędne w demokratycznym państwie prawnym (przy czym art. 51 ust. 2 Konstytucji RP mówi o nieco innej niezbędności niż RODO). Zatem to co powinno przejść u prywaciarza — jeśli oczywiście odbierze prawidłowo wyrażoną zgodę na przetwarzanie danych — nie powinno tak łatwo przejść w przypadku jednostki publicznej jaką jest szkoła.

subskrybuj
Powiadom o
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

25 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
25
0
komentarze są tam :-)x