Nowy wyrok dot. RODO – czy można w firmie stosować biometrię jako mechanizm uwierzytelniania lub przyspieszający operacje?
Ciekawy wyrok dotyczący RODO, który dotyczył jednostki oświatowej, ale może mieć swoje pozytywne konsekwencje również w innych obszarach!
Prezes Urzędu Ochrony Danych Osobowych, [dalej jako: „PUODO”], w dniu 18 lutego 2020 roku wydał decyzję stwierdzającą naruszenie ochrony danych osobowych przez Szkołę Podstawową nr 2 w Gdańsku, [dalej jako: „Szkoła”]. Zgodnie z treścią wspomnianej decyzji, Szkoła, niezgodnie – rzekomo – z RODO, pozyskiwała dane biometryczne uczniów w postaci odcisków palców, które następnie wykorzystywane były do weryfikacji opłacenia przez danego rodzica obiadu dla ucznia w specjalnym systemie informatycznym, funkcjonującym w tej placówce, [dalej jako: „system”].
W opinii PUODO, Szkoła przetwarzając dane biometryczne swoich uczniów podczas korzystania przez nich z usług stołówki szkolnej, dopuściła się zarówno naruszenia zasady „minimalizacji danych”, jak również naruszenia polegającego na przetwarzaniu wspomnianych wyżej danych wrażliwych (sensytywnych) ze złamaniem zakazu przetwarzania takich danych, o którym mowa w art. 9 ust. 1 RODO. Zakaz taki wyłącza chociażby zgoda podmiotu danych.
Powołując się na zasadę minimalizacji danych, PUODO uznał, że przetwarzanie danych biometrycznych uczniów nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. W ocenie PUODO, wyżej wymienioną identyfikację Szkoła mogła przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej. W wydanej decyzji podkreślono również, że dane biometryczne mogą być wykorzystywane m. in. w celach zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji w celu weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach, czy też w celu wydawania dokumentów identyfikacyjnych (paszportów) lub kontroli dostępu do określonych sfer bezpieczeństwa, a nie do weryfikacji tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu. Zdaniem PUODO, pozyskanie od uczniów danych biometrycznych, stanowiło zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.
Z kolei Szkoła w piśmie wyjaśniającym do PUODO wskazała, że pozyskiwane przez nią dane osobowe uczniów nie stanowią danych biometrycznych w rozumieniu RODO, a tym bardziej takie dane nie są przez nią gromadzone. W jej ocenie, dane związane z czytnikiem na odcisk palca gromadzone były tylko w samym czytniku, w postaci zapisu ciągu bajtów, które następnie były porównywane z odpowiednim numerem pozycji w programie księgowym, przypisanym do danego ucznia. Ponadto, Szkoła podkreślała, że dane uczniów, niezbędne do działania systemu, zostały pozyskane na podstawie zgód, wyrażonych przez rodziców każdego z uczniów, w chwili zawierania umowy o korzystanie z posiłków w stołówce szkolnej. Każda ze zgód mogła zostać w dowolnej chwili wycofana przez rodzica, co wiązało się z usunięciem pozyskanych danych dziecka z systemu. Niezależnie od złożonych przez wyjaśnień, PUODO nakazał Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej, a także zaprzestanie zbierania wspomnianych danych biometrycznych uczniów. Dodatkowo, z uwagi na fakt, że zbierane przez Szkołę dane osobowe należały do szczególnych kategorii danych osobowych („tzw. dane wrażliwe”) oraz dotyczyły osób małoletnich (szczególnie chronionych na gruncie RODO – por. motyw 38 RODO), PUODO nałożył na Szkołę karę pieniężną w wysokości 20 000 złotych.
Od wspomnianej decyzji Szkoła złożyła odwołanie do Wojewódzkiego Sądu Administracyjnego w Warszawie, który orzekł m. in. o uchyleniu decyzji PUODO z dnia 18 lutego 2020 roku.
W ramach uzasadnienia WSA wskazał, że PUODO dopuścił się przede wszystkim istotnego naruszenia przepisów RODO – poprzez ich niewłaściwą wykładnię i zastosowanie, a w konsekwencji wadliwe uznanie, że Szkoła, przetwarzając dane biometryczne swoich uczniów podczas korzystania przez nich z usług stołówki szkolnej, dopuściła się zarówno naruszenia zasady „minimalizacji danych”, jak również naruszenia polegającego na przetwarzaniu wspomnianych wyżej danych wrażliwych (sensytywnych) bez zgody podmiotu danych.
Zdaniem WSA, zasada minimalizacji danych nie powinna być zbyt restrykcyjnie interpretowana. Według WSA, odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć, uznać należy za interpretacją zbyt daleko idącą. Tym samym, za dopuszczalne uznać należy przetwarzanie danych w nieco szerszym zakresie, niż tylko – jak przyjął Prezes UODO – konieczne minimum, pod warunkiem, że przetwarzane dane mają ścisły związek z realizacją celu (np. ułatwiają jego osiągnięcie).
Ponadto, WSA uznał, że za zgodne z prawem należało uznać przetwarzanie przez Szkołę danych biometrycznych uczniów, z uwagi na pobranie od każdego rodzica pisemnych oświadczeń (zgód), na podstawie których rodzice uczniów, których dane biometryczne dotyczyły, w sposób jednoznaczny i niebudzący wątpliwości wyrazili zgodę na ich przetwarzanie w określonym celu, tj. na potrzeby funkcjonowania systemu w Szkole do weryfikacji opłaty za obiad. Tym samym, WSA, wbrew stanowisku PUODO, uznał, że spełniona została przesłanka, wskazana w art. 9 ust. 2 lit. a RODO (zgoda na przetwarzanie danych osobowych szczególnych kategorii).
Dlaczego ten wyrok może mieć istotne znaczenie również dla innych niż szkoły, podmiotów?
Sąd potwierdził, że jest możliwe wyrażenie zgody w takiej formie i treści jak wskazanej w danych przypadku. Chodzi o to, że wdrażając nowoczesne rozwiązania organizacyjne, administrator danych może korzystać z mechanizmów i technologii opartych na biometrii, gdyż zasada minimalizacji danych nie oznacza, że skoro możemy dane przetwarzać w zeszycie, to tylko zeszyt jest odpowiedni. Jeżeli technologia umożliwiająca nam np. dynamizację procesu obsługi klientów na to pozwala, możemy wykorzystywać rozwiązania oparte na biometrii. Zasada minimalizacji danych oznacza zaś jedynie tyle, że administrator może – w ramach prowadzonych procesów przetwarzania – korzystać tylko z takiego danych, jaki jest niezbędny, aby dane działanie zrealizować.
Tylko tyle i aż – drobny niuans, który zupełnie zmienia optykę.