Wykorzystanie danych biometrycznych przez szkołę

18 lutego 2020 PUODO nałożył administracyjną karę pieniężną w wysokości 20.000,00 zł na szkołę podstawową, która przetwarzała dane biometryczne dzieci w celu obsługi stołówki. Za pomocą odcisku palca następowała weryfikacja, czy dziecko ma opłacony posiłek. Na takie przetwarzanie danych dzieci uprzednio wyrażali zgodę rodzice.

Szkoła, jak wynika z uzasadnienia decyzji nie sądziła, że w ogóle przetwarza dane szczególnej kategorii (biometryczne). Z uzasadnienia wynika, że szkoła przechowywała specjalnie przetworzony obraz odcisku linii papilarnych dziecka, który miał postać zapisu ciągu bajtów (postać cyfrowa). Następnie każdorazowo aparatura porównywała zapis cyfrowy jaki przechowywała w pamięci z odciskiem palca dziecka zgłaszającego się po obiad. Tak ustalony stan faktyczny podpada pod definicję przetwarzania danych biometrycznych. Dochodziło bowiem do specjalnego przetworzenia danych biometrycznych w celu identyfikacji, mówiąc bardziej precyzyjnie weryfikacji tożsamości. Pojęcia identyfikacji  i weryfikacji tożsamości, często się pokrywają, ale nie musi tak być. W wyniku specjalnego przetworzenie nie musi powstać całościowy obraz danych biometrycznych, wystarczy że powstaje ich częściowe odzwierciedlenie, które w efekcie pozwala na identyfikację osoby. Wydaje się więc, że PUODO ma rację co do kategorii przetwarzanych danych osobowych.

Natomiast wątpliwości budzi dalsze uzasadnienie decyzji.

Po pierwsze organ uznał, że zgoda nie może być podstawą legalizacyjną przetwarzania, skoro przetwarzanie następuje w wykonaniu zadania nałożonego przez system prawa na podmiot publiczny (szkołę). Zdaniem organu podstawy takiego przetwarzania należy szukać w art. 6 ust. 1 lit. e rodo, legalizującego przetwarzanie, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. W mojej opinii nie jest to prawidłowo zidentyfikowana podstawa przetwarzania, ponieważ bezpośrednią podstawą korzystania przez dzieci z usług stołówki, jest umowa zawarta pomiędzy szkołą a rodzicem dziecka. Skoro wydanie obiadu zależy od zapłaty, to spełnione są warunki do uznania takich zachowań za realizację świadczeń wzajemnych wynikających ze stosunku zobowiązaniowego. Ta podstawa bezpośrednia wyprzedza więc pierwotną podstawę, o której mówi organ. Nie to jest jednak istotne, bo nawet uznając, że podstawą jest niezbędność do wykonania zadania publicznego, z rodo nie wynika, że jeden proces (operacja) przetwarzania nie może mieć różnych podstaw dla celów szczegółowych, które łącznie służą realizacji głównego celu. Zgoda może więc występować nie zamiast ale obok każdej innej podstawy legalizacyjnej z art. 6 ust. 1 lub art. 9 ust. 2 rodo. Ponadto może dochodzić do zbiegu podstaw, ponieważ to samo przetwarzanie może spełniać przesłanki więcej niż jednej z hipotez opisanych w kolejnych jednostkach redakcyjnych art. 6 ust. 1 rodo. Może być tak, że po odpadnięciu jednej z podstaw, pozostaje kolejna a przetwarzanie nadal może się odbywać.

Po drugie PUODO dopatrzył się w omawianym przetwarzaniu, naruszenia zasady minimalizacji danych, wyrażonej w art. 5 ust. 1 lit. c rodo. Zgodnie z tą zasadą przetwarzać (wykorzystywać) można tylko taki zakres danych jaki jest niezbędny do zamierzonego celu. Weryfikacja uprawnienia do obiadu może bowiem nastąpić bez wykorzystania danych biometrycznych. Jednak celem szkoły nie była weryfikacja uprawnienia, tylko usprawnienie procesu weryfikacji. Zasada minimalizacji danych nie może stać na przeszkodzie postępowi technologicznemu. Organ powinien więc przyłożyć miarę minimalizacji danych do rzeczywistego celu, jaki zamierzała osiągnąć szkoła i odpowiedzieć na pytanie czy identyczne usprawnienie można było osiągnąć przy mniejszym zakresie danych (bez danych biometrycznych). Zasada minimalizacji odnosi się oczywiście do przetwarzania legalizowanego każdą z podstaw, również zgodą. Ale należy wyraźnie odróżniać zgodę na cel od zgody na zakres. Osoba (tu rodzice) nie może w sposób ważny zgodzić się na nieadekwatny zakres danych, ale może zgodzić się na cel, który wymaga przetwarzania większego zakresu danych w tym danych szczególnej kategorii. Są cele, które można osiągnąć przy różnym zakresie przetwarzanych danych, ale są i takie, które niejako są sprzężone z zakresem.

Najbardziej przekonywujący fragment uzasadnienia odnosi się do powszechnych skojarzeń i intuicji. Organ zauważa bowiem, że cel przetwarzania jest niepoważny w porównaniu z innymi dla których przetwarzanie danych biometrycznych jest typowe, jak np. bezpieczeństwo osobowe, przemysłowe, wydawanie dokumentów takich jak paszport, dostęp do sfer bezpieczeństwa itd. Faktycznie nie raz można zobaczyć w filmach sci-fi, jak naukowcy ubrani w kombinezony przykładają palec przed wejściem do laboratorium, gdzie przechowywane są tajemnice o życiu pozaziemskim. W zestawieniu z takimi obrazami korzystanie w ten sposób ze stołówki wydaje się nieproporcjonalne, bo powód jest zbyt błahy, a miejsce niewyszukane. Czy jednak takie odczucie wystarcza do sformułowania zakazu i nałożenia kary, skoro na całym świecie miliardy ludzi odblokowują ekran telefonu odciskiem palca?

To co w mojej ocenie zasługuje na negatywną reakcję, to że bez identyfikacji biometrycznej, trzeba było czekać w drugiej kolejce – tzn. dzieci bez identyfikacji biometrycznej przepuszczały te, które jej podlegały – ale to jest naruszenie przede wszystkim innych dziedzin prawa. Trzeba też przyznać, że tak stworzone warunki do wyrażenia zgody wpływały dyskwalifikująco na jej dobrowolność w rozumieniu rodo, ponieważ brak zgody miał negatywne skutki (gorsza alternatywa). W mojej ocenie PUODO powinien więc ograniczyć się do nakazania stworzenia warunków dobrowolności zgody przez eliminację z regulaminu stołówki postanowienia o kolejce drugiego stopnia. Tym samym doszłoby do przywrócenia zasad współżycia społecznego i dobrych obyczajów, przy zachowaniu dążenia do nowoczesności, którym powinna cechować się szkoła.