Aktualności

Ochrona danych osobowych: Kara PUODO dla szkoły za przetwarzanie danych biometrycznych uczniów

Ochrona danych osobowych: Kara PUODO dla szkoły za przetwarzanie danych biometrycznych uczniów

Prezes Urzędu Ochrony Danych Osobowych wydał kolejną decyzję nakładającą karę finansową za nieprzestrzeganie przepisów RODO - 20 000 zł złotych będzie musiała zapłacić szkoła, która identyfikowała uczniów korzystających ze stołówki za pomocą odcisków palców. Szkoła argumentowała, że w rzeczywistości nie zbierała danych osobowych ponieważ odcisk palca był przez system zapisany w formie ciągu bajtów, a ponadto dysponowała zgodą rodziców uczniów na przetwarzanie tych danych.

Jeżeli korzystasz z czytników biometrycznych (skan odcisku palca, skan siatkówki), decyzja PUODO może pomóc Ci zweryfikować, czy robisz to zgodnie z prawem.

Czy mam podstawę prawną do przetwarzania danych biometrycznych?

Odcisk palca lub skan siatkówki to tzw. dane wrażliwe, o których mowa w art. 9 ust. 1 RODO. Takie dane podlegają szczególnej ochronie - co do zasady nie powinno się ich przetwarzać, chyba że zachodzi jedna z okoliczności wyłączających wskazanych tym przepisie. Takimi okolicznościami są, między innymi:

  1. uzyskanie wyraźnej zgody na przetwarzanie takich danych w konkretnym celu od osoby, której dane dotyczą,
  2. niezbędność przetwarzania danych do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  3. uprzednie upublicznienie tych danych przez osobę, której dane dotyczą,
  4. niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  5. niezbędność przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego.

Warto zauważyć, że wśród przesłanek dopuszczających przetwarzanie danych biometrycznych nie ma odpowiednika art. 6 ust. 1 lit. b RODO - a więc nie można uzasadniać przetwarzania odcisku palców samą koniecznością wykonaniem umowy.

Według PUODO ukarana szkoła błędnie zidentyfikowała swoją podstawę przetwarzania danych opierając się na zgodzie, ponieważ posiadała inne podstawy przetwarzania danych uczniów.

Czy mogę przetwarzać dane biometryczne na podstawie zgody?

Co prawda zgoda jest jedną z przesłanek przetwarzania danych biometrycznych, jednak należy podchodzić do niej z dużą ostrożnością. Po pierwsze, zgoda na przetwarzanie danych osobowych może być zbierana, jeżeli administrator nie dysponuje inną podstawą prawną przetwarzania danych. Po drugie warunkiem uznania zgody za prawidłowo udzieloną jest jej dobrowolność i konkretność. Dobrowolność nie będzie zachowana, jeżeli pomiędzy administratorem danych i podmiotami danych zachodzi nierówność sił.

Odmowa udzielenia zgody nie może powodować negatywnych skutków - w tym nie może stanowić warunku świadczenia usługi. Co więcej, należy pamiętać, że zgoda może być w każdym momencie odwołana, co będzie się wiązało z koniecznością zaprzestania przetwarzania danych.

Szkoła, na którą nałożono karę, co prawda zebrała od rodziców uczniów zgody na przetwarzanie danych, ale ich ważność została zakwestionowana przez PUODO. Poza wątpliwościami co do podstawy prawnej przetwarzania danych, Prezes UODO uznał, że brak zgody negatywnie wpływał na sytuację uczniów, którzy byli wpuszczani na stołówkę w ostatniej kolejności.

Czy będę w stanie wykazać niezbędność przetwarzania danych biometrycznych, dla realizacji moich celów?

Zgodnie z zasadą minimalizacji, administrator powinien przetwarzać tylko te dane, które są niezbędne do realizacji ustalonego celu. Decydując się na kontrolę dostępu za pomocą biometrii należy więc zbadać, czy tego samego celu np. ochrony przed niepowołanym dostępem do budynku nie da się zapewnić w inny sposób - poprzez kartę wejścia, kontrolę przez ochronę budynku itd.

Na potrzeby realizacji zasady rozliczalności, udokumentuj przeprowadzenie takiej analizy. Pamiętaj także, że przetwarzanie danych biometrycznych w celu identyfikacji osób może wymagać przeprowadzenia oceny skutków dla ochrony danych.

W ukaranej szkole, uczniowie korzystali również z innych opcji weryfikacji, które nie wymagały przetwarzania danych biometrycznych. Pobieranie odcisków palców nie było konieczne do weryfikacji uczniów uprawnionych do korzystania ze stołówki. Szkoła mogła zdecydować się na rozwiązania mniej ingerujące w prywatność uczniów, żeby osiągnąć ten sam cel (zapewne również znacznie mniejszym kosztem).

Czy mogę wprowadzić kontrolę dostępu na odcisk palca w zakładzie pracy?

Jeżeli przetwarzasz dane biometryczne pracowników, zwróć uwagę na art. 221b § 2 Kodeksu pracy, zgodnie z którym Przetwarzanie danych biometrycznych pracownika jest dopuszczalne, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dopuszczalnie jest więc wprowadzenie dostępu na odcisk palca np. do serwerowni lub pomieszczeń w których znajdują się szczególne istotne dokumenty lub wartościowy sprzęt. W takim przypadku nie należy pobierać od pracowników zgody na przetwarzanie danych osobowych.

Decydując się na taką kontrolę pamiętaj, że jako pracodawca będziesz zobowiązany wykazać, że jej wprowadzenie na danym obszarze było uzasadnione, a zapewnienie wymaganego poziomu bezpieczeństwa mniej inwazyjnymi metodami nie było możliwe.

UWAGA! Nie korzystaj z dostępu na odcisk palca lub skan siatkówki do kontroli czasu pracy pracowników - PUODO wyraźnie wskazał, że takie działanie jest zabronione, nawet jeżeli pracownicy wyrażą zgodę na taką formę kontroli.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa