Jedna z polskich szkół korzystała z czytnika biometrycznego przy wejściu do szkolnej stołówki. Placówka oświatowa przy pomocy urządzenia pobierającego odcisk palca identyfikowała dzieci, które zapłaciły za obiady w danym dniu. Sprawą zajął się prezes Urzędu Ochrony Danych Osobowych. Jednoznacznie stwierdził, że doszło do nadużycia wykorzystania danych biometrycznych, mimo tego, że przetwarzanie odbywało się na podstawie zgody wyrażonej przez rodziców lub opiekunów prawnych.

Co to są dane biometryczne?

Zgodnie z art. 4 pkt 14 RODO dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej. Umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Takie dane to przede wszystkim linie papilarne palców, tęczówka oka czy też kształt małżowiny usznej. Stanowią szczególną kategorię danych osobowych, ponieważ mają charakter niezmienny i wyjątkowy. Ich wyciek może doprowadzić do dużego ryzyka naruszenia praw i wolności osób fizycznych, dlatego uważane są za szczególnie wrażliwe.

Przetwarzanie danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej co do zasady jest zabronione. Wyjątkowo można przetwarzać te dane na podstawach określonych w art. 9 ust. 2 RODO.

Stanowisko PUODO

W sprawie szkolnej stołówki PUODO ustalił, że przetwarzanie danych biometrycznych nie było niezbędne dla osiągnięcia celu w postaci identyfikacji uprawnienia dziecka do odebrania obiadu. Organ wskazał, że można było to osiągnąć przy pomocy środków mniej ingerujących w prywatność. Uczniowie mogli na przykład wejść do stołówki na podstawie karty elektronicznej, numeru umowy czy nazwiska. Wykorzystanie danych biometrycznych w celu ustalenia tożsamości uczniów uprawnionych do wejścia na stołówkę było w istotny sposób nieproporcjonalne.

PUODO zaznaczył również, że w placówce oświatowej doszło do naruszenia zasady równości. Uczniowie zostali zróżnicowani na tych, którzy posiadają identyfikację biometryczną oraz na tych którzy jej nie mają. Pierwsza grupa była traktowana w sposób uprzywilejowany. Uczniowie, którzy do niej należeli mieli pierwszeństwo w dostępie do stołówki. Natomiast ci, którzy nie posiadali identyfikacji biometrycznej, owszem, mogli wejść do stołówki ale jako ostatni.

Organ ustalił, że zgoda rodzica nie może być podstawą przetwarzania danych biometrycznych, ponieważ placówki oświatowe przetwarzają dane osobowe odrębnej przesłance legalizującej, tj. art. 6 ust. 1 lit. e RODO.

Kara

W związku z zaistniałą sytuacją PUODO nałożył na placówkę oświatową karę pieniężną w wysokości 20.000,00 zł. Nakazał usunięcie zgromadzonych danych biometrycznych oraz zakazał dalszego ich zbierania.