Czy szkoła może wprowadzić mechanizm identyfikacji dzieci korzystających ze stołówki w oparciu o ich linie papilarne? Czy jednak oznacza to naruszenie zakazu przetwarzania danych biometrycznych bez wyraźnej podstawy prawnej? A może wystarczająca jest zgoda rodziców na przetwarzanie danych wrażliwych? Czy jednak rację ma PUODO twierdząc, że zgoda na przetwarzanie danych będzie niedopuszczalna, jeśli istnieje inna przesłanka — zaś zbieranie zgody w takim przypadku to nic innego jak „zgodomania”? I czy prymat zgody nie groziłby akceptacją dla przetwarzania danych nadmiarowych względem zakładanego celu?
wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (III OSK 4804/21)
Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby, której te dane dotyczą i jest to zgoda wyrażona w sposób zgodny z rygorami RODO, organ nadzoru nie może kwestionować przyjętego przez strony celu przetwarzania, zakresu i ilości przetwarzanych danych, sposobu ich przetwarzania oraz okresu ich przetwarzania.
Omawiane orzeczenie jest ciekawe nie tylko ze względu na ostateczne przesądzenie kolejnego „starego jak RODO” sporu, tj. czy dopuszczalne jest przetwarzanie danych biometrycznych dzieci w celu możliwości skorzystania ze szkolnej stołówki, ale też dlatego, że NSA odpowiedział na kilka istotnych pytań to, czy zgoda na przetwarzanie może być stosowana także wówczas, kiedy mogłaby być zastosowana inna przesłanka —
- sprawa zaczęła się od wprowadzonego przez pewną szkołę usprawnienia polegającego na identyfikacji uczniów korzystających ze stołówki poprzez przyłożenie palca do czytnika;
- taka praktyka została zakwestionowana przez PUODO jako naruszenie zakazu przetwarzania danych biometrycznych — bo zezwolenie rodziców na przetwarzanie odcisków palców była o tyle bezskuteczna, iż „zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie” (niektórzy zwą to „zgodomanią”);
- nakładając na szkołę karę w wysokości 20 tys. zł urząd uznał, iż przetwarzanie danych biometrycznych w celu wstępu do szkolnej jadłodajni to nie tylko naruszenie zasady minimalizacji danych, ale też nadmierna ingerencja w prywatność dzieci (por. „Przetwarzanie danych biometrycznych jest co do zasady zakazane (czyli dlaczego szkoła dostała karę za biometrię na stołówce)”);
- odmiennie spór ocenił WSA, który przyjął, że zasada minimalizacji danych nie stoi na przeszkodzie przetwarzaniu danych wrażliwych dla ułatwienia sobie i innym życia — w tym w celu umożliwienia wejścia do szkolnej stołówki;
art. 5 ust. 1 lit. c) RODO
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
art. 9 ust. 2 lit. a) RODO
[Zakaz przetwarzania szczególnych kategorii danych osobowych] nie ma zastosowania, jeżeli (…):
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
art. 4 pkt 11 RODO
„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
- zaś uchylając decyzję o nałożeniu kary orzekł, iż odkąd zgoda jest dopuszczalną podstawą przetwarzania danych osobowych, to nie można wymagać przetwarzania w oparciu o inną przesłankę (por. „Przetwarzanie danych biometrycznych — odcisków palców dzieci korzystających ze szkolnej stołówki — jest dozwolone”);
skarga kasacyjna PUODO:
- w skardze kasacyjnej od niekorzystnego rozstrzygnięcia urząd podkreślił, że zgoda rodziców na przetwarzanie danych biometrycznych dzieci nie miała charakteru dobrowolnego;
- zaś tak czy inaczej uzależnienie korzystania przez dzieci ze szkolnej stołówki od przyłożenia palca do czytnika narusza zasadę minimalizacji danych;
orzeczenie NSA:
- zasada minimalizacji limituje zarówno okres przetwarzania danych do czasu, w którym jest to niezbędne, jak też nakłada na administratora obowiązek przetwarzania możliwie najmniejszego zakresu danych („gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”, motyw 39 RODO);
- rozporządzenie nie określa jednak sposobu „ważenia” alternatywy dla wybranego zakresu przetwarzanych danych; zdaniem NSA należy w tym celu porównać konkurencyjne opcje, sprawdzając, czy nie generują „zasadniczo wyższych „kosztów” materiałowych, finansowych, czasowych i osobowych”;
- przetwarzanie danych na podstawie zgody zawsze wymaga określenia celu owego przetwarzania (art. 6 ust. 1 lit. a) RODO, art. 9 ust. 2 lit. a) RODO), zaś zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, a taże dotyczyć tylko podanego celu;
- z zasadą minimalizacji danych koresponduje zasada ograniczenia celu: jeśli zatem osoba wyrazi prawidłową zgodę na przetwarzanie danych w określonym — konkretnym, wyraźnym — celu, zaś administrator prawidłowo wykona obowiązek informacyjny, to „należy przyjąć, że zasada ograniczenia celu przetwarzania została zrealizowana”;
- w ocenie NSA zgoda na przetwarzanie jest „swego rodzaju uzgodnieniem” pomiędzy administratorem a osobą, którego treścią jest wspólna ocena, iż dla realizacji określonego celu najlepsze będzie przetwarzanie określonych (czasowo, zakresowo) danych;
Naczelny Sąd Administracyjny nie podziela stanowiska organu, że posiada on kompetencję do podważenia prawidłowo wyrażonej zgody na przetwarzanie danych osobowych, poprzez wykazanie, że dla osiągnięcia wskazanego przez administratora danych osobowych celu przetwarzania, wystarczające jest podjęcie innych działań, ingerujących w dane osobowe w niższym stopniu lub w ogóle. Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby, której te dane dotyczą i jest to zgoda wyrażona w sposób zgodny z rygorami RODO, organ nadzoru nie może kwestionować przyjętego przez strony celu przetwarzania, zakresu i ilości przetwarzanych danych, sposobu ich przetwarzania oraz okresu ich przetwarzania.
- skoro więc zainteresowana osoba wyraziła zgodę na przetwarzanie danych osobowych, to PUODO zgody tej podważać nie może — przez co zarzut nadmiarowości zbieranych danych i naruszenia zasady minimalizacji jest nietrafny;
- aprobata dla takiej wykładni nie grozi przetwarzaniem wszelkich danych osobowych niezależnie od celu przetwarzania;
- (na marginesie NSA podkreślił, że w przypadku danych wrażliwych zgoda może być niewystarczająca, jeśli istnieje taki przepis prawa — aczkolwiek norma zakazująca przetwarzania danych biometrycznych dzieci w celu wstępu do stołówki nie istnieje);
- ba, nie ma także przeszkody dla przetwarzania danych w oparciu o skumulowane przesłanki (wszakże art. 6 ust. 1 RODO wymaga spełnienia co najmniej jednego warunku), zaś możliwość przetwarzania danych wrażliwych w oparciu o kilka przesłanek można wyinterpretować z art. 17 ust. 1 lit. b) RODO) — co oznacza, że administrator może przetwarzać dane w oparciu o zgodę osoby, nawet jeśli istnieje inna podstawa — ergo jeżeli osoba wyraziła skutecznie zgodę na przetwarzanie swoich danych, zbędne jest poszukiwanie podstaw legitymizacji tego przetwarzania w innych potencjalnych przesłankach (tj. art. 6 ust. 1 lit. b)-f) RODO lub art. 9 ust. 2 lit. b)-j) RODO);
- sęk bowiem w tym, że kluczowa powinna być wola i autonomia człowieka, toteż ograniczanie możliwości wyrażenia zgody oraz próba podważania skuteczności udzielonego zezwolenia jest niedopuszczalne;
- zdaniem NSA nie doszło w tym przypadku do naruszenia wymogu dobrowolności zgody: wprawdzie pierwszeństwo w wejściu na stołówkę miały dzieci identyfikujące się odciskiem palców, ale szkoła umożliwiała weryfikację uprawnienia do obiadu także w inny sposób (nazwisko i numer umowy), zatem odmowa przetwarzania danych biometrycznych nie pozbawiała ucznia prawa do posiłku.
Zamiast komentarza, krótkie podsumowanie dla tych, dla których TL,DR:
- jeśli została udzielona prawidłowa zgoda na przetwarzanie danych, inna wynikająca z RODO przesłanka nie jest niezbędna;
- administrator nie musi bać się bazowania na zgodzie, nawet jeśli mógłby oprzeć się o inną podstawę przetwarzania (tu dorzuciłbym wątpliwość wynikającą z konstytucyjnego zakazu pozyskiwania i gromadzenia nadmiarowych danych obywateli przez władze publiczne — i tego na pewno zgoda nie pokryje);
- PUODO nie może podważać należycie udzielonej zgody, choćby jego zdaniem odbieranie zgody mogło prowadzić do zbierania danych nieadekwatnych do realizowanego celu;
- bo każdy człowiek ma swój rozum — a jak sobie nie życzy, to niech się nie zgadza (widziały gały co brały i na co się zgadzały).