Urząd Ochrony Danych Osobowych ustalił, że podstawówka korzysta z czytnika biometrycznego umieszczonego przy wejściu do stołówki szkolnej. Przy jego pomocy identyfikuje dzieci pobierające posiłki, aby potem zweryfikować uiszczenie opłaty za posiłek w danym dniu. 

Dane były zbierane na podstawie pisemnej zgody rodzica – w efekcie z takiego sposobu weryfikacji korzystało 680 uczniów, a czterech uczniów posługiwało się alternatywnym systemem identyfikacji. Zgodnie z zasadami wydawania obiadów ta czwórka musiała jednak przepuszczać wszystkich i oczekiwać na końcu kolejki.

W ocenie szkoły w systemie nie były zapisywane żadne dane, które byłyby danymi biometrycznymi, ponieważ urządzenie przetwarza je do ciągu znaków cyfrowych i tylko te gromadzi. Jednak zdaniem prezesa UODO dane uczniów o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego stanowią dane biometryczne w rozumieniu art. 4 pkt 14 RODO. 

„W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja” – wskazuje UODO.

Prezes UODO przypomina też, że zgodnie z Prawem oświatowym w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. 

„Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną” – zauważa UODO. „Realizując te usługę szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej” - podkreśla. 

UODO przypomina, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie szkoła może pozyskiwać od swoich uczniów. „Żaden z nich nie zezwala szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych” – zaznacza.

Prezes UODO zwraca też uwagę na niebezpieczeństwa związane z gromadzeniem danych papilarnych. „Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Należy zatem wskazać, że ewentualny wyciek danych biometrycznych skutkował będzie dużym ryzykiem naruszenia praw i wolności osób fizycznych. Odnosi się to w sposób szczególny do danych biometrycznych dzieci” – czytamy w uzasadnieniu decyzji UODO.

Urząd nakazał Szkole Podstawowej w Gdańsku usunięcie danych biometrycznych i nałożył na nią karę pieniężną w wysokości 20 tys. zł.

Urząd Miejski w Gdańsku zapewnia, że zajmie się sprawą. "Sprawdzamy, czego ta kara dotyczy, jakie zastrzeżenia wobec naszej szkoły wysunął Urząd Ochrony Danych Osobowych. Musimy zapoznać się z uzasadnieniem tej decyzji, ale także porozmawiać z dyrektorem placówki" - komentuje Daniel Stenzel, rzecznik prasowy prezydenta Gdańska. "Zmienione, bardzo restrykcyjne zasady związane z RODO to było spore wyzwanie dla wszystkich instytucji. Doświadczamy tego codziennie jako klienci firm, instytucji publicznych, internauci" - dodaje.

Jak podkreśla, "kwestia danych osobowych to ważna sprawa, musimy do tego podejść profesjonalnie".

aba/