Wśród kilkudziesięciu kar finansowych, nałożonych w Polsce od wejścia RODO, zdarzały się przypadki bardzo głośne, szeroko komentowane w mediach i sieci. Jeden z nich dotyczył naruszenia przez administratora obowiązków dotyczących przetwarzania danych szczególnych kategorii – konkretnie zaś danych biometrycznych. Dziś więcej o tym zagadnieniu.
Przedostatnim uczestnikiem naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest art. 9 RODO. Poniżej kilka uwag o tym, jak w świetle praktyki Prezesa UODO przetwarzać dane szczególnych kategorii — przede wszystkim zaś dane biometryczne — by nie narazić się na karę i wątpliwą sławę medialną, a także o tym, co w tym zakresie może zmienić się w niedalekiej przyszłości.
Czego dotyczy art. 9 RODO?
Zgodnie z art. 9 ust. 1 RODO, zabronione jest — co do zasady — przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Wszystkie te dane określa się łącznie mianem danych szczególnych kategorii (przed wejściem w życie RODO dane te były określane także jako dane wrażliwe lub sensytywne).
Dodatkowo warto przypomnieć, że art. 4 pkt 14 RODO wyjaśnia, iż dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Są to więc takie informacje, jak wizerunek twarzy lub dane daktyloskopijne (przy czym wyliczenie zawarte w przepisie ma charakter jedynie przykładowy – rodzajem danych biometrycznych są też m.in. cechy tęczówki oka, układ naczyń krwionośnych, głos, kształt małżowiny usznej, podpis uwzględniający nacisk i poziom nachylenia pisma, dynamika pisania na klawiaturze).
Przetwarzanie danych szczególnych kategorii jest możliwe wyjątkowo, jedynie jeśli zaistnieje jedna z przesłanek legalizujących, wyliczonych w art. 9 ust. 2 RODO. Wyliczenie to obejmuje aż 10 różnych sytuacji, a wśród nich tę, na którą najczęściej próbują powoływać się administratorzy, czyli zgodę podmiotu danych.
Wzmiankowany przepis stanowi, że zakaz przetwarzania danych szczególnych kategorii nie ma zastosowania, jeśli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu (art. 9 ust. 2 lit. a RODO).
Czy w Polsce są już przykłady postępowań dotyczących przetwarzania danych osobowych szczególnych kategorii, które zakończyły się nałożeniem kary?
Do tej pory opublikowana została jedna decyzja Prezesa UODO, w której nałożona kara dotyczyła przetwarzania danych szczególnych kategorii. Sprawa ta jest natomiast bardzo głośna, a także doniosła z prawnego punktu widzenia, bo może na długo ukształtować standard dot. przetwarzania danych biometrycznych w zgodności z RODO. Ale po kolei…
Szkoła podstawowa w G., czyli „obiad za odcisk palca” lub „szkolne Guantanamo” * (treść decyzji)
Postępowanie prezesa UODO, co ciekawe wszczęte z urzędu, dotyczyło przetwarzaniu danych osobowych uczniów szkoły podstawowej w postaci odcisków palców dzieci korzystających z usług stołówki szkolnej.
Szkoła korzystała z czytnika biometrycznego umieszczonego przy wejściu do stołówki. Służył on do identyfikacji dzieci i weryfikacji uiszczenia opłaty za posiłek w danym dniu. Szkoła pozyskiwała dane (odciski palców) na podstawie pisemnej zgody rodzica (opiekuna prawnego).
Szkoła w postępowaniu podnosiła, że istniał również alternatywny system identyfikacji (nieoparty na danych biometrycznych). Na ponad 1200 uczniów szkoły prawie 700 było objętych identyfikacją biometryczną, zaś tylko 2 uczniów systemem alternatywnym (pozostali uczniowie nie korzystali ze stołówki). Ponadto, mimo iż teoretycznie istniał alternatywny system identyfikacji osób uprawnionych do otrzymywania obiadów, w postępowaniu okazało się, że był on mocno dyskryminujący. Zgodnie bowiem z zasadami wydawania posiłków — uczniowie, którzy nie posiadali identyfikacji biometrycznej, musieli przepuszczać wszystkich i oczekiwać na końcu kolejki. Obiad był im podawany, gdy wszyscy uczniowie z identyfikacją biometryczną weszli do stołówki. Dopiero wtedy rozpoczynało się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej.
Szkoła w postępowaniu podnosiła także, że nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Po podpisaniu umowy na obiady oraz wyrażeniu przez rodzica zgody na korzystanie z czytnika biometrycznego, dziecko było rejestrowane w systemie ewidencji wpłat i posiłków (SEWiP), poprzez wprowadzenie jego imienia, nazwiska, klasy oraz danych rodzica – imienia, nazwiska, adresu e-mail, tel. kontaktowego. Następnie dochodziło do rejestracji wzorca odcisku palca dziecka w czytniku. Od tego momentu wzorzec identyfikowany był przez ww. system za pomocą liczby porządkowej w czytniku. Dane związane z odciskiem palca gromadzone były jedynie w samym czytniku w postaci zapisu ciągu bajtów. Czytnik w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu odciskowi palca, wysyłał do systemu numer, który w systemie przypisany był danej osobie i następie odczytywał status obiadu (opłacony/nieopłacony). Zdaniem placówki, to powodowało, że przetwarzane dane nie były danymi biometrycznymi.
Po rozwiązaniu umowy o korzystanie z obiadów w stołówce dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku, były usuwane.
Zbrodnia … – czyli na czym polegało naruszenie art. 9 RODO, za które ukarał Prezes UODO?
Analiza decyzji Prezesa UODO pokazuje, że kara pieniężna została nałożona za przetwarzanie danych szczególnych kategorii w postaci danych daktyloskopijnych (stanowiących dane biometryczne) bez podstawy prawnej.
Prezes UODO podkreślił, że pozyskane przez szkołę dane uczniów (odciski palców) stanowią dane biometryczne, a przetworzenie tych danych do postaci zapisu cyfrowego nie zmienia ich charakteru. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami, możliwa jest bowiem identyfikacja danego dziecka.
Prezes UODO wskazał także, że szkoła nie posiadała odpowiedniej podstawy do przetwarzania takich danych. W szczególności zwrócił uwagę na to, iż:
- podstawą do przetwarzania danych osobowych dzieci przez szkołę w celu realizacji jej ustawowych zadań (a takim jest zapewnienie prawidłowej realizacji zadań opiekuńczych, w szczególności wspieranie prawidłowego rozwoju uczniów, dla którego to celu szkoła może zorganizować stołówkę) jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- podstawą przetwarzania danych biometrycznych dzieci nie mogła być zatem zgoda (art. 9 ust. 2 lit. a RODO), gdyż ta stanowi podstawę legalizującą przetwarzanie danych osobowych szczególnych kategorii jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania;
- przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu (można przeprowadzić identyfikację za pomocą innych środków, mniej ingerujących w prywatność dziecka i wykorzystujących mniejszą ilość danych osobowych);
- weryfikacja tego, kto zamierza skorzystać z usług stołówki i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane (brak jest adekwatności przetwarzania).
Prezes UODO w kontekście rozważań o zgodzie na przetwarzanie, wskazał również, że — nawet gdyby poszukiwać przesłanki legalizującej w zgodzie — nie byłyby spełnione przesłanki uznania takiej zgody za dobrowolną (ze względu na wyraźny brak równowagi między osobą, której dane dotyczą a administratorem, a także ze względu na skrajnie dyskryminujące traktowanie uczniów korzystających z innych niż biometryczna form identyfikacji).
Reasumując, warto zauważyć, że omawiana decyzja utrzymała dotychczasową linię polskiego organu nadzorczego w zakresie przetwarzania danych biometrycznych, wykształconą jeszcze przed wejściem w życie RODO.
… i kara – czyli jaką karę nałożył Prezes UODO?
Za naruszenie przepisów dotyczących podstawowych zasad przetwarzania danych szczególnych kategorii, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 9 RODO, Prezes UODO może nałożyć — co do zasady — karę pieniężną w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa — w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 lit a RODO).
W kontekście omawianej sprawy trzeba jednak pamiętać, że polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (na podstawie art. 83 ust. 7 RODO) zastrzega niższe kary dla jednostek sektora finansów publicznych — a taką jest szkoła publiczna. W przypadku takich podmiotów maksymalna kara to 100.000 zł (za wyjątkiem państwowych i samorządowych instytucji kultury — tu maksymalna kara jest jeszcze niższa, bo tylko 10.000 zł).
Ustalając wysokość kary, organ uwzględnia szereg czynników: charakter i wagę stwierdzonego naruszenia, czas jego trwania, ewentualną umyślność działania, działania podjęte przez administratora w celu zminimalizowania szkody, stopień odpowiedzialności administratora, sposób dowiedzenia się o naruszeniu, liczbę poszkodowanych, czy możliwości poniesienia kary przez dany podmiot.
W przypadku szkoły podstawowej w G. nałożona kara była dużo niższa niż maksymalny limit — wynosiła 20.000 zł.
Warto podkreślić, że taka wysokość kary została ustalona, pomimo iż — zgodnie z motywem 38 RODO — dane osobowe dzieci wymagają szczególnej ochrony (dzieci jako podmioty danych mogą bowiem być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych), a zatem stwierdzone naruszenie winno być oceniane szczególnie surowo.
Decyzja Prezesa UODO i nałożona kara zostały zakwestionowane przez ukaraną szkołę. Sprawa trafiła więc na wokandę WSA w Warszawie.
Szkoła, skarżąc decyzję, podniosła m.in. że:
- zgoda rodzica (opiekuna prawnego) może być przesłanką legalizującą przetwarzanie danych biometrycznych (tym bardziej, że to rodzice wystąpili z inicjatywą zastosowania czytnika biometrycznego na odcisk palca);
- przed wprowadzeniem czytnika na odcisk palca, stosowała czytnik na elektroniczną kartę, lecz system ten nie spełniał do końca założonego celu weryfikacji uiszczenia opłaty za posiłek w danym dniu, ponieważ dzieci zbyt często gubiły lub zapominały zabrać z domu kartę.
Prezes UODO podtrzymał natomiast swoje stanowisko wyrażone w decyzji.
WSA w swoim orzeczeniu zaskoczył, odstępując od poglądów zawartych we wcześniejszych rozstrzygnięciach sądów administracyjnych (wydanych jeszcze przed wejściem RODO), które kwestionowały przetwarzanie danych biometrycznych na podstawie zgody ze względy na naruszenie ogólnych zasad przetwarzania, tj. brak adekwatności i niezbędności takiego przetwarzania (tak np. wyrok NSA z 1 grudnia 2009 r., sygn. akt I OSK 249/09).
W wyroku z 7 sierpnia 2020 r. (sygn. akt II SA/Wa 809/20) WSA w Warszawie uznał, że szkoła mogła przetwarzać dane biometryczne uczniów korzystających ze szkolnej stołówki. Choć bowiem przetwarzanie danych szczególnych kategorii jest — co do zasady — zabronione, to zgoda na przetwarzanie podmiotu danych (tu jego opiekuna prawnego) zakaz ten uchyla.
Ponadto, w ocenie WSA organ nadzorczy dokonał błędnej wykładni art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych, gdyż w sposób nieuprawniony pominął w ramach jej oceny istotny aspekt adekwatności i stosowności przetwarzania danych. To prowadziło w konsekwencji do zbyt rygorystycznego postrzegania tej zasady. Sąd zakwestionował odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu, uznając to za interpretacją zbyt daleko idącą.
WSA podkreślił, że wymóg niezbędności przetwarzania należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.
WSA zauważył, że w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Restrykcyjna wykładnia przepisu prezentowana przez Prezesa UODO uniemożliwia natomiast w praktyce przetwarzanie jakichkolwiek innych danych niż tylko te, bez których cel nie może zostać osiągnięty.
Sąd nie zgodził się z taką wykładnią i uznał, że dopuszczalne jest przetwarzanie danych w nieco szerszym zakresie niż minimum, jeśli dane te mają ścisły związek z realizacją celu. Wystarczy zatem, że przetwarzane dane „istotnie” wspomagają osiąganie celów przetwarzania, choćby samo ich osiągnięcie mogło być teoretycznie możliwe także bez nich.
Ciąg dalszy nastąpi…
Sprawa nie jest jeszcze zamknięta, bo z wyrokiem WSA nie zgodził się Prezes UODO. Jego skarga kasacyjna złożona w marcu 2021 r., którą poparł Rzecznik Praw Dziecka, wciąż czeka na rozpoznanie.
Utrzymanie przez NSA orzeczenie sądu pierwszej instancji, będzie oznaczało dużą zmianę i uelastycznienie zasad przetwarzania danych biometrycznych. Przychylenie się natomiast do skargi Prezesa UODO oznaczać może, że w przyszłych latach kar za naruszanie art. 9 RODO będzie więcej (podobnie jak ma to miejsce w innych państwach UE, takich jak Włochy, gdzie naruszenie tego przepisu jest jedną z częstszych przyczyn nałożenia kary).
* określenia pochodzą z publikacji medialnych na temat decyzji Prezesa UODO