W ub. tygodniu Prezes UODO nałożył karę pieniężną na szkołę podstawową w Gdańsku, która gromadziła odciski palców dzieci, w celu ich identyfikacji biometrycznej, podczas korzystania przez nie z usług stołówki szkolnej.
reklama
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił, że wspomniana szkoła od września 2015 r. korzysta z czytnika biometrycznego umieszczonego przy wejściu do stołówki szkolnej, który identyfikuje dzieci pobierające posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu. Szkoła pozyskuje dane na podstawie pisemnej zgody rodzica (opiekuna prawnego).
Szkoła poinformowała, że nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Dane związane z czytnikiem na odcisk palca gromadzone są tylko w samym czytniku w postaci zapisu ciągu bajtów. W trakcie odczytu czytnik porównuje czy istnieje odpowiedni ciąg bajtów, jeśli tak, to wysyła do programu tylko numer pozycji. Numer pozycji przypisany jest do konkretnego dziecka, które z kolei rejestrowane jest w systemie ewidencji wpłat i posiłków (SEWiP) poprzez wprowadzenie jego imienia, nazwiska, klasy oraz imienia, nazwiska, adresu e-mail, tel. kontaktowego rodzica, a następnie rejestrowany jest jego wzorcowy odcisk palca. Natomiast dostęp do danych znajdujących się w czytniku posiadają dwie osoby: administrator systemu i intendent – upoważnieni pracownicy tej szkoły.
Podpisując umowę o korzystanie z posiłków w stołówce szkolnej rodzice mieli możliwość wyboru: wyrażenia zgody lub niewyrażenia zgody na korzystanie z czytnika na odcisk palca. Co ciekawe, na ponad 600 dzieci korzystających ze stołówki tylko kilkoro korzystało z alternatywnego systemu identyfikacji. Jednakże dzieci, których rodzice nie zgodzili się na identyfikację biometryczną były w pewnym sensie dyskryminowane przy wydawania obiadów - zgodnie z zasadami stołówki uczniowie, którzy nie posiadali identyfikacji biometrycznej, musieli przepuścić wszystkich z identyfikacją biometryczną. Dopiero gdy wszyscy uczniowie z identyfikacją biometryczną weszli do stołówki, rozpoczynało się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej.
UODO ustalił ponadto, że w sytuacji, gdy rodzic danego dziecka nie wycofał zgody na korzystanie przez nie z czytnika biometrycznego, a dziecko przestało korzystać z usług stołówki szkolnej, (bez rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej) wzorzec biometryczny zapisany w czytniku przechowywany był do czasu rozwiązania lub do zakończenia roku szkolnego. Wzorzec biometryczny zapisany na czytniku i na karcie SD pozostawał na czas wakacji.
Szkoła twierdzi, że systemie nie są zapisywane żadne dane, które byłyby danymi biometrycznymi. Jednakże Prezes UODO po analizie całej procedury doszedł do innych wniosków. Zgodnie z jego oceną pozyskane przez Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne w rozumieniu powołanego przepisu (art. 4 pkt 14 RODO) wbrew złożonym wyjaśnieniom Szkoły. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.
Zdaniem Prezesa UODO wspomniana szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. W związku z tym, z uwagi na to, że szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, takie postępowanie prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych ustanowionej w RODO, zgodnie z którą administrator danych - czyli w tym przypadku szkoła - nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów.
W związku z powyższym Prezes UODO nakazał szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz nakazał zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej. UODO nałożył także na szkołę karę pieniężną w wysokości 20 tys. zł.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|