Dane biometryczne stanowią coraz większą pokusę dla administratorów danych, którzy chcąc uprościć pewne procesy w swoich organizacjach zaczynają sięgać po rozwiązania organizacyjne i techniczne oparte na przetwarzaniu tychże danych. Przykładem coraz częstszego wykorzystania jest na przykład kontrola wejść do pomieszczeń i budynków. Dzięki odciskowi palca, a w niektórych przypadkach skanowi gałki ocznej administratorzy zaczynają przetwarzać dane biometryczne, które znajdują się w katalogu danych osobowych szczególnej kategorii wymienionych w art. 9 ust 1 RODO.
W niniejszym artykule chciałbym zwrócić Państwa uwagę na ciekawy przykład dotyczący przetwarzania danych biometrycznych dzieci. Rzeczywistość sama pisze ciekawe przykłady. Mamy w dodatku szczęście przyglądać się sprawie z bliska, gdyż stała się ona przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych. Abyście mogli Państwo zrozumieć aktualny stan sprawy, wypadałoby krótko go opisać. Mianowicie wszystko zaczęło się, gdy zarządzający szkołą podstawową z Gdańska wpadli na pomysł wykorzystania biometrii w zakresie korzystania przez dzieci z stołówki szkolnej. System pozwalał na weryfikację wniesienia opłaty za posiłek i informował czy dane dziecko miało prawo do posiłku, czy też nie. Podstawą prawną do przetwarzania stała się pisemna zgoda rodziców lub opiekunów prawnych. Niemniej jednak zdaniem organu nadzorczego udzielona zgoda nie mogła być uznana za dobrowolną, co jak wiemy jest warunkiem sine qua non, o którym mówi RODO. Ponadto Urząd Ochrony Danych Osobowych (UODO) stwierdził, że w polskim porządku prawnym nie ma przepisów zezwalających szkole na przetwarzanie danych biometrycznych. Niemniej jednak mimo tak postawionej sprawy przez UODO, Wojewódzki Sąd Administracyjny w Warszawie stwierdził inaczej mówiąc, że wyrażenie zgody na przetwarzanie danych szczególnych kategorii, legalizuje przewarzanie, w tym przypadku danych biometrycznych.
Osoby nie interesujące się tematyką ochrony danych osobowych mogłyby powiedzieć, że sprawa jest mało istotna. Przecież chodzi o sprawne i natychmiastowe wycyzelowanie osób, którym przysługuje, a którym nie, pewne świadczenie, a jeżeli dzieje się to w czasie rzeczywistym, to przecież nie ma sprawy, idźmy z duchem czasów i korzystajmy z technologii, którą dysponujemy. Sąd administracyjny w pierwszej instancji poniekąd potwierdził taki tok myślenia wskazując, że szkoła dochowała legalności przetwarzania danych osobowych.
Niemniej jednak mając na względzie ochronę danych osobowych, a w tym przypadku sprawa nabiera rumieńców, gdyż dotyczy danych dzieci (680 dzieci), oraz kwestii dobrania przez szkołę środków technicznych do realizacji celu jakim jest korzystanie przez nie ze szkolnej stołówki, UODO stanął na stanowisku, że szkoła mogła bez przeszkód wykorzystać inne formy identyfikacji uczniów, które zdaniem urzędu nie ingerują, aż tak daleko w prywatność dziecka. Dodatkowym argumentem za takim podejściem była, wykazana podczas kontroli funkcjonująca w szkole możliwość korzystania z usług stołówki za pomocą kart elektronicznych czy też na podstawie nazwiska i numeru umowy.
Jak się wydaje dodatkowym czynnikiem napędzającym UODO do podjęcia działań piętnujących takie podejście szkoły mogły okazać się informacje zamieszczone na stronie internetowej stołówki prowadzonej przez szkołę, które to mówiły, że pierwszeństwo w wejściu na stołówkę miały dzieci korzystające z identyfikacji biometrycznej. Dopiero po wejściu tych dzieci na stołówkę mogły wejść dzieci nie korzystające z identyfikacji biometrycznej. Takie podejście w opinii UODO to jawny wyraz nierównego traktowania uczniów i ich dzielenie oraz promowanie tych którzy używają identyfikacji biometrycznej. Prezes UODO wyraźnie zaznaczył nieproporcjonalność wykorzystania danych biometrycznych dzieci w odniesieniu do celu, zaznaczając przy tym: „Podkreślić należy, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 RODO). (…) Podkreślić należy, że dane biometryczne z racji swej charakterystyki są szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają szczególnej ochrony. Kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, co do zasady zatem takich dany nie powinno się przetwarzać, a wyjątkiem są przesłanki legalizujące ten proces znajdujące się w RODO. (…) System biometryczny identyfikuje te cechy, które są co do zasady niezmienne i niejednokrotnie (jak w przypadku danych daktyloskopijnych), niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Należy zatem wskazać, że ewentualny wyciek danych biometrycznych skutkował będzie dużym ryzykiem naruszenia praw i wolności osób fizycznych. Odnosi się to w sposób szczególny do danych biometrycznych dzieci, bowiem podjęcie decyzji o udostępnieniu tego rodzaju danych dziecka przez opiekunów prawnych oraz ich ewentualny wyciek nie będzie możliwy do odwrócenia w czasie, nawet po osiągnięciu przez dziecko pełnoletności.”
Urząd Ochrony Danych Osobowych wskazuje, że chęć przetwarzania danych biometrycznych musi iść w parze z odpowiednio przeprowadzoną oceną ryzyka lub analizą pod kontem czy tych samych celów nie można osiągnąć w inny sposób, mniej ingerujący w prywatność podmiotu danych.
W toku postępowania Prezes UODO nałożył na szkołę karę administracyjną w wysokości 20 tysięcy złotych za przetwarzanie danych biometrycznych dzieci i nakazał jej usunąć te dane. Szkoła zaskarżyła decyzję Prezesa UPODO do Wojewódzkiego Sądu Administracyjnego w Warszawie, a ten jak na wstępie informowałem uchylił karę. WSA uznał, że UODO zbyt rygorystycznie podszedł do zasady minimalizacji danych.
Nad tak postawioną sprawą UODO nie mogło przejść obojętnie i złożyło kasację od wymienionego w tytule wyroku WSA o sygn. akt. II SA/WA 809/20 do Naczelnego Sądu Administracyjnego.
Sprawa jest niezmiernie interesująca, gdyż może się okazać punktem zaczepienia dla nowej linii orzeczniczej w zakresie przetwarzania danych szczególnych kategorii. Zatem z nieskrywanym zainteresowaniem czekam na ostateczne rozstrzygnięcie w tej sprawie.
Autor: Radosław Aniszczyk