Szkoła chcąc usprawnić proces weryfikacji opłaty za obiad wprowadziła, z inicjatywy części rodziców, biometrię jako sposób przetwarzania danych dzieci w w/w celu. Biometria używana była za zgodą rodzica (opiekuna prawnego), ci którzy nie wyrazili zgody, byli weryfikowani „ręcznie”.
Stanowisko UODO
UODO ustalił, że zgoda nie mogła być podstawą legalizacyjną takiego przetwarzania, a ponadto naruszona została zasada minimalizacji. Wydaną decyzją nałożył na Szkołę administracyjną karę pieniężną w wysokości 20 tyś zł. Szerzej nt. decyzji wypowiedziałem się z tym miejscu.
Stanowisko WSA
Ze stanowiskiem UODO nie zgodził się WSA. Stwierdził, że organ nadzorczy dokonał błędnej wykładni art. 5 ust. 1 lit. c oraz art. 9 ust. 1 i ust. 2 lit. a RODO. WSA uznał, że:
- organ w sposób właściwy przyjął, iż pozyskane przez skarżącą Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne, w rozumieniu przepisu art. 4 pkt 14 RODO
- wbrew stanowisku organu nadzorczego – skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.
- zasadę minimalizacji danych należy rozpatrywać łącznie z pozostałymi zasadami, w szczególności z zasadą ograniczenia celu. Realizacja proporcjonalności przetwarzania danych jest zależna od prawidłowości określenia celu przetwarzania, który wyznacza zakres zbieranych danych niezbędnych dla osiągnięcia tego celu.
- zaprezentowana przez organ nadzorczy wykładnia art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych jest błędna, gdyż w sposób nieuprawniony pomija w ramach jej oceny istotny aspekt adekwatności i stosowności, co prowadzi w konsekwencji do zbyt rygorystycznego postrzegania tej zasady.
- uznać należy wprawdzie, że dane osobowe, które są zbędne do realizacji celu, nie powinny być przetwarzane. Niemniej jednak, co trzeba wyraźnie podkreślić, odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu (taka właśnie wykładnia została zaprezentowana przez Prezesa UODO), uznać należy za interpretacją zbyt daleko idącą.
- wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.
Usprawnienie procesu, zmiana sposobu czy celu
Trafnie sąd wskazuje, że zasada minimalizacji nie może być rozumiana jako hamulec dla ulepszania procesów, czyli jako przeszkoda dla sprawniejszego osiągnięcia celu. Według mnie, o czym pisałem w poprzednim artykule, usprawnienie osiągnięcia pierwotnego celu, jest nawet kolejnym celem, dla którego należy przeprowadzić test zgodności celów, jeśli dane są już zebrane, albo znaleźć podstawę jeśli dane dopiero mają być zebrane – bez cienia wątpliwości taką podstawą jest wyraźna zgoda osoby, czyli w tym wypadku rodzica (opiekuna prawnego).
Nie można też zapominać, że w samej definicji administratora funkcjonuje pojęcie sposobu przetwarzania. Jak się zdaje, według sądu zasada minimalizacji nie może prowadzić do ograniczenia sposobów przetwarzania tylko do takich, które wykorzystują minimalny zakres danych, ale niekorzystnie wpływają na efektywność procesu. Wydaje się, że to ma na myśli sąd mówiąc o dopuszczeniu przetwarzania danych, które w istotny sposób mogą pomóc w osiągnięciu celu, jest to w istocie zmiana sposobu na bardziej efektywny – czyli, że zmiana zakresu danych nie oznacza automatycznie zmiany celu, ale zmianę sposobu właśnie, w konsekwencji nie stwarza konieczności poszukiwania podstawy prawnej. Trochę to się kłóci z tym fragmentem uzasadnienia: „prawidłowości określenia celu przetwarzania, który wyznacza zakres zbieranych danych” – nie sposób przetwarzania tylko cel przetwarzania wyznacza zakres danych. Choć tak naprawdę (bardziej precyzyjnie) zakres danych wyznacza nie cel tylko zasada minimalizacji, gdyby to cel wyznaczał zakres danych to by znaczyło, że w rodo jest zasada: „cel uświęca środki”.
Według mnie bardziej poprawne jest wyraźne oddzielenie zasady minimalizacji od sposobu, a odniesienie jej wyłącznie do celu. Czyli dla zakresu danych, wyznaczonego celem i zasadą minimalizacji, musi być podstawa prawna. Pojęciem sposobu powinna być objęta sytuacja wykorzystywania konkretnych danych (prowadzenia operacji) w ramach zakresu danych, dla których mamy cel i podstawę prawną, a przy tym zakresu wyznaczonego przez zas minimalizacji. Z drugiej strony do równie poprawnego efektu doprowadzi objęcie sposobów zasadą minimalizacji, choć jest to mniej czytelne. Ostatecznie zarówno cel jak i sposób, muszą być legalne czyli zgodne z art. 6, art. 5 i in. przepisami rodo. Zgodnie z podziałem EROD (Wytyczne 7/2020, s. 16) istnieją sposoby istotne i inne niż istotne, w tym układzie ustalenie tych pierwszych stanowi o roli ado, i może tu chodzić m. in. o zakres danych, dla takiego sposobu istotnego tak jak dla celu trzeba poszukiwać podstawy legalizacyjnej z art. 6 rodo. Według mnie wątpliwa jest potrzeba wydzielania sposobów istotnych i innych i wrzucania zakresu danych do tego pierwszego zbioru. Wydaje się, że zakres danych wchodzi w skład jednego z parametrów przetwarzania tj. zakresu przetwarzania obok kontekstu i charakteru.
W wypadku niniejszej sprawy, niezależnie czy zmianę zakresu danych ocenimy jako parametr celu czy parametr sposobu, osoby wyraziły zgodę na tę konkretną operację (cel i sposób), czyli zgodnie z motywem 43 ich zgoda niewątpliwie byłaby dobrowolna, gdyby nie zróżnicowanie sytuacji w kolejce, w czym trzeba upatrywać naruszenia dobrowolności.
Kazus jest ciekawy. Uwydatnia problem prawidłowej szczegółowości celu i relacji zasad przetwarzania z art. 5 rodo, których wspólne spełnienie gwarantuje realizację zasady zgodności z prawem. Najważniejszy wniosek jaki płynie z wyroku, to że zakres danych ma być adekwatny do celu, a nie tylko ograniczony do tego co niezbędne, czyli zasada minimalizacji jest korygowana przez zasadę risk based approach i równowagi interesów ado i podmiotu danych.
Artykuł 5 Zasady dotyczące przetwarzania danych osobowych
1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). (powiązany: art. 32)
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).