Szkoła podstawowa z Gdańska została ukarana 20 tysiącami złotych grzywny za przetwarzanie danych dzieci bez podstawy prawnej.

Szkoła podstawowa w Gdańsku przetwarzała dane biometryczne 680 dzieci tylko po to, żeby identyfikować które z nich są uprawnione do odebrania obiadu na stołówce szkolnej. Zdaniem Urzędu Ochrony Danych Osobowych taka sytuacja jest niedopuszczalna, szczególnie, że w kontrolowanej szkole istnieją inne metody takiej weryfikacji – karty magnetyczne czy nawet podanie nazwiska i nr umowy.

Dane biometryczne to w zasadzie wszelkie dane wiążące się z pomiarem ludzkiego ciała, np. pomiar odstępu od siebie gałek ocznych, numer buta, wzrost, obwód głowy, itd.

Szkoła wykorzystywała czytnik linii papilarnych i priorytetyzowała wejście dzieci z taką identyfikacją, ponad te, które z takie identyfikacji nie korzystały i ostatecznie musiały czekać na końcu kolejki. Tego typu zasady, zdaniem prezesa UODO, wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują tych posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne. Prezes UODO nakazał szkole usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego zbierania danych osobowych. Nałożył również na szkolę grzywnę w wysokości 20 tysięcy złotych.

Postępowanie Urzędu wykazało, że szkoła pozyskuje i przetwarza dane biometryczne dzieci na podstawie pisemnej zgody rodziców lub opiekunów prawnych. Stosowane rozwiązanie funkcjonuje od 1 kwietnia 2015 roku. W obecnym w roku szkolnym z czytnika biometrycznego korzysta 680 uczniów, a tylko czterech z alternatywnego systemu identyfikacji.

RODO identyfikuje dane biometryczne, jako dane szczególnie chronione

Prezes UODO w uzasadnieniu swojej decyzji podkreślił, że szczególnej ochrony danych osobowych wymagają dzieci,. Co więcej, w omawianej sprawie przetwarzane dane są szczególnych kategorii. System biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Kara dla szkoły jest szóstą karą w związku z RODO w Polsce. Najwyższą grzywnę do tej pory otrzymał sklep Morele.net, ponad 644 tysiące euro. Szkoła jest z kolei drugą jednostką publiczną ukaraną w ten sposób. Pierwszą był burmistrz Aleksandrowa Kujawskiego, którego ukarano ponad 9 tysdiącami euro za naruszenie art. 28 RODO.

{loadmoduleid 782}