29.04.2021


Czy RODO dopuszcza pobieranie odcisków palców uczniów przez szkołę?

KATEGORIA: Wokanda

W wyroku z dnia 7 sierpnia 2020 r. o sygnaturze II SA/Wa 809/20 Wojewódzki Sąd Administracyjny w Warszawie uznał, że przetwarzanie danych biometrycznych uczniów w związku z funkcjonowaniem stołówki szkolnej może być zgodne z prawem.

Opisywane orzeczenie zapadło na gruncie stanu faktycznego, w którym szkoła podstawowa korzystała z czytnika biometrycznego celem identyfikacji, czy dzieci pobierające posiłek uiściły opłaty należne za dany dzień. Prezes Urzędu Ochrony Danych Osobowych [dalej: PUODO] zażądał wyjaśnień w tej sprawie. Placówka w odpowiedzi wskazała, że przetwarzanie danych następowało na podstawie pisemnej zgody rodzica (opiekuna prawnego) udzielanej przy zawieraniu umowy na korzystanie ze stołówki (z możliwością odmowy wyrażenia zgody). Dane były gromadzone w czytniku, a dostęp do nich ostatnich mieli upoważnieni pracownicy – administrator systemu i intendent. Po rozwiązaniu umowy o korzystanie ze stołówki dane potrzebne do identyfikacji były usuwane. Szkoła wskazała ponadto, że dane przechowywane są na zabezpieczonym serwerze.

Jak ustalił ponadto PUODO uczniowie, którzy nie są identyfikowani biometrycznie, musieli przepuścić wszystkich pozostałych i następnie byli wpuszczani indywidualnie.

PUODO w decyzji administracyjnej:

1) nakazał skarżącej Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,

2) nakazał skarżącej Szkole zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,

3) nałożył na skarżącą Szkołę, za naruszenie stwierdzone w tej decyzji, karę pieniężną w wysokości 20.000,00 (słownie: dwadzieścia tysięcy) złotych.

W uzasadnieniu wydanej decyzji PUODO zauważył w szczególności, że zgodnie z art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[1], dalej jako: RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Z kolei wskazując na art. 4 pkt 14 RODO, PUODO zauważył, że dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Zdaniem organu dane te, z racji swej charakterystyki, są szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają szczególnej ochrony. Kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, co do zasady zatem takich dany nie powinno się przetwarzać, a wyjątkiem są przesłanki legalizujące ten proces znajdujące się w RODO. Wskazano, że wyciek tych danych może nieść daleko idące konsekwencje.

Podkreślono jednocześnie, że szczególnej ochrony wymagają dane osobowe dzieci, które mogą być mniej świadome zagadnień związanych z tych danych.

PUODO stwierdził, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją zadania szkoły polegającego na prowadzeniu stołówki nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO. W ocenie organu uznać należało, że realizując usługę polegającą na prowadzeniu stołówki, skarżąca Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Zdaniem PUODO przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie skarżąca szkoła może pozyskiwać od swoich uczniów, lecz żaden z nich nie zezwala tej placówce na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych uczniów, których przetwarzanie jest co do zasady zakazane na podstawie art. 9 ust. 1 RODO, w celu realizacji świadczenia w postaci usług stołówki szkolnej.

Wreszcie organ podkreślił, że zasady wydawania obiadów wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.

Szkoła wniosła skargę na decyzję do WSA w Warszawie.

W skardze wskazano m.in., że dobór metody weryfikacji nastąpił na prośbę rodziców, spowodowaną ograniczoną użytecznością poprzedniego systemu (opartego o karty magnetyczne). To rodzice mogli udzielić lub nie udzielić zgody na korzystanie z czytnika.

Wskazano również, że choć decyzja PUODO jest kontrowersyjna, to szkoła m.in. zaprzestała zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej. Zakwestionowano przy tym tezę organu, że dane te stanowią dane biometryczne.

W odpowiedzi na skargę PUODO stwierdził w szczególności, że w przypadku niespełnienia przez administratora obowiązków określonych w art. 5 ust. 1 RODO, nie ma on podstaw prawnych do przetwarzania danych osobowych, co czyni ten proces nielegalnym. Organ wskazał, że w takiej sytuacji zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie.

WSA w Warszawie uwzględnił skargę i uchylił zaskarżoną decyzję.

Sąd stwierdził, że PUODO wydając decyzję naruszył przepisy prawa europejskiego, w szczególności art. 5 ust. 1 lit. c oraz art. 9 ust. 1 i ust. 2 lit. a RODO, poprzez ich niewłaściwą wykładnię i zastosowanie, a w konsekwencji wadliwe uznanie, że skarżąca naruszyła zasadę minimalizacji danych oraz że złamała zakaz przetwarzania danych wrażliwych.

Jednocześnie, w ocenie WSA, organ w sposób nieuzasadniony nałożył na stronę skarżącą karę pieniężną w wysokości 20.000,00 złotych.

Zdaniem Sądu PUODO prawidłowo przyjął, iż dane przetwarzane przez szkołę mają charakter danych biometrycznych. Stwierdził, że dane, aby uzyskały zgodny z definicją status "danych biometrycznych", muszą łącznie spełniać warunki określone w art. 4 pkt 14 RODO, tj. być danymi osobowymi, które odnoszą się do określonych cech, na podstawie których - przy użyciu specjalnych metod technicznych - jest możliwa jednoznaczna identyfikacja osoby fizycznej lub potwierdzenie jej tożsamości. W wyniku zestawienia wzorca biometrycznego, zarejestrowanego na urządzeniu, z palcem dziecka (ucznia korzystającego ze stołówki) przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest identyfikacja dziecka. W ocenie Sądu wystarczy aby możliwa była choćby pośrednia identyfikacja osoby, aby dane jej dotyczące stanowiły jej dane osobowe.

WSA uznał ponadto, że dane przetwarzane w stanie objętym sprawą miały charakter danych wrażliwych. Przetwarzanie danych wrażliwych, zgodnie z art. 9 ust. 1 RODO, jest co do zasady zabronione, jednak art. 9 ust. 2 RODO określa sytuacje, w których zakaz ten zostaje uchylony. Wykazanie choć jednej z nich umożliwia zatem przetwarzanie danych wrażliwych. Sąd za podstawową z tego typu przesłanek uznał zgodę osoby, której dotyczą przetwarzane dane (o ile przepisy takiej możliwości w określonym przypadku nie wyłączają). Wskazał przy tym na szereg cech, którymi powinna cechować się zgoda, w tym na jej dobrowolność oraz wyraźność.

Sąd stwierdził w tym kontekście, że zgoda wyrażona konkludentnie może zostać uznana za niespełniająca wymogu wyraźności. Za zgodę spełniającą wymogi art. 9 ust. 2 lit. a RODO Sąd uznał natomiast „pisemne oświadczenie, w którym osoba, której dane sensytywne dotyczą, w sposób jednoznaczny i niebudzący jakichkolwiek wątpliwości wskazuje, że wyraża zgodę na ich przetwarzanie w określonym celu (lub kilku konkretnych celach)”.

W tej sytuacji, Sąd uznał, że niniejszej sprawie udzielenie pisemnych oświadczeń przez rodziców uczniów, których dane biometryczne dotyczyły, świadczy o spełnieniu przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO.

WSA przychylił się do tej części stanowiska PUODO, zgodnie z którą po spełnieniu przesłanki legalizującej przetwarzanie danych także sam proces przetwarzania musi być zgodny z art. 5 ust. 1 RODO. Stwierdził ponadto, że wykorzystywanie danych biometrycznych przez szkołę musi być w konsekwencji adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. W ocenie Sądu zasada minimalizacji danych prowadzi do ograniczeń polegających na dopuszczalności przetwarzania tylko takich danych, bez których nie da się osiągnąć celu przetwarzania. Dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, lecz zarazem nie mogą być nadmierne.

W końcu WSA stwierdził jednak, że PUODO dokonał błędnej wykładni przepisów RODO, pomijając m.in. aspekt adekwatności, co prowadzi do zbyt rygorystycznego postrzegania zasady minimalizacji danych. W ocenie Sądu określenie „adekwatne” oznacza „odpowiednie, zgodne, proporcjonalne, nienadmierne” i może być traktowane jako synonim słowa „stosowne”. WSA uznał w konsekwencji, że w pewnych okolicznościach możliwe jest zatem przetwarzanie także takich danych, które „istotnie” wspomagają osiąganie celów przetwarzania, choćby samo ich osiągnięcie mogło być możliwe także bez nich.

Sąd uznał zatem, że dopuszczalne jest przetwarzanie danych w nieco szerszym zakresie niż minimum, o ile dane te mają ścisły związek z realizacja celu.

W ocenie WSA szkoła, będąca administratorem danych biometrycznych, uzasadniła związek między celem przetwarzania a zakresem danych oraz wyjaśniła dlaczego poprzednie metody weryfikacji nie spełniały oczekiwań. Wyraźnie odwołał się w tym zakresie do poglądów jednego z przedstawicieli doktryny[2].

Tym samym Sąd uznał, że PUODO, wydając zaskarżoną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 Kodeksu postępowania administracyjnego [dalej: K.p.a.] i art. 7 in principio K.p.a. oraz art. 7 Konstytucji RP, a także art. 8 K.p.a. W konsekwencji WSA orzekł o uchyleniu decyzji.

Wyrok jest nieprawomocny.

Warto zaznaczyć, że opisane orzeczenie wzbudziło pewne kontrowersje. Można przypuszczać, że oczekiwane rozstrzygnięcie Naczelnego Sądu Administracyjnego będzie ważnym punktem odniesienia w dyskusji o ochronie danych osobowych w podmiotach publicznych.

 


[1] Dz. Urz. UE L 119 z dnia 4 maja 2016 r. str. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2.

[2] Zob. P. Fajgielski, Art. 5 [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, SIP Lex.Autor:
Adrian Misiejko

Doktor nauk prawnych, specjalizuje się w zakresie prawa samorządu terytorialnego ze szczególnym uwzględnieniem ustroju j.s.t. i publicznego transportu zbiorowego


TAGI: Ochrona danych osobowych, RODO, Wyrok WSA,Tekst pochodzi z portalu Prawo Dla Samorządu