Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 18.02.2020 r. (Szkoła Podstawowa nr 2 w Gdańsku)
Kara za przetwarzanie danych biometrycznych dzieci
ZSZZS.440.768.2018
05/03/2020
PUODO nałożył karę pieniężną w wysokości 20 tys. zł na Szkołę Podstawową z Gdańska za przetwarzanie bez podstawy prawnej danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki. Prezes UODO w uzasadnieniu swojej decyzji podkreślił, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka
Warszawa, dnia 18 lutego 2020 r.
DECYZJA
ZSZZS.440.768.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z późn. zm.) oraz art. 7 ust. 1 i 2, art. 60, art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 5 ust. 1 lit. c, art. 9 ust. 1, art. 58 ust. 2 lit. f, lit. g i lit. ioraz z art. 83 ust. 2 i 3, art. 83 ust. 5 lit. a, art. 83 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie gromadzenia odcisków palców dzieci w celu ich identyfikacji biometrycznej podczas korzystania przez nie z usług stołówki szkolnej przez Szkołę Podstawową w Gdańsku, dla której organem prowadzącym jest Miasto Gdańsk., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku., dla której organem prowadzącym jest Miasto Gdańsk., przepisów art. 5 ust. 1 lit. c oraz art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:
- nakazuje Szkole Podstawowej nr 2 w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
- nakazuje Szkole Podstawowej nr 2 w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
- nakłada na Szkołę Podstawową nr 2 w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych).
Uzasadnienie
Urząd Ochrony Danych Osobowych powziął informację o nieprawidłowościach w procesie przetwarzania danych osobowych uczniów Szkoły Podstawowej w G., zwanej dalej Szkołą, polegających na gromadzeniu odcisków palców dzieci korzystających z usług stołówki szkolnej. W wyniku powyższego wszczęto postępowanie z urzędu w sprawie nieprawidłowości przetwarzania danych osobowych przez Szkołę.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezesem UODO) ustalił następujący stan faktyczny:
- Szkoła korzysta z czytnika biometrycznego o nazwie […] umieszczonego przy wejściu do stołówki szkolnej, który identyfikuje dzieci pobierające posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu. Szkoła pozyskuje dane na podstawie pisemnej zgody rodzica (opiekuna prawnego).
- Szkoła korzysta z czytnika biometrycznego od dnia […] września 2015 r. W roku szkolnym 2018/2019 do Szkoły uczęszczało 1247 uczniów, z czego 603 korzystało z czytnika biometrycznego, a 2 uczniów z alternatywnego systemu identyfikacji. W roku szkolnym 2019/2020 do szkoły uczęszcza 1121 uczniów, z czego 680 uczniów korzysta z czytnika biometrycznego, a 4 uczniów z alternatywnego systemu identyfikacji.
- Zgodnie z wyjaśnieniami Szkoły z dnia […] grudnia 2018 r. Szkoła nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Dane związane z czytnikiem na odcisk palca gromadzone są tylko w samym czytniku w postaci zapisu ciągu bajtów. W trakcie odczytu czytnik porównuje czy istnieje odpowiedni ciąg bajtów, jeśli tak, to wysyła do programu tylko numer pozycji. Numer pozycji przypisany jest do konkretnego dziecka.
- Dostęp do danych znajdujących się w czytniku posiadają dwie osoby: administrator systemu i intendent – upoważnieni pracownicy Szkoły.
- Zgodnie z wyjaśnieniami Szkoły z dnia […] grudnia 2018 r. rodzic w umowie o korzystanie z posiłków w stołówce szkolnej ma możliwość wyboru: wyrażenia zgody lub niewyrażenia zgody na korzystanie z czytnika na odcisk palca. Rodzice są informowani o tej możliwości na stronie internetowej stołówki szkolnej.
- Zgodnie z zasadami wydawania obiadów umieszczonymi na stronie stołówki prowadzonej przez Szkołę - uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki (pkt 3), oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej (pkt 9).
- Zgodnie z wyjaśnieniami Szkoły z dnia […] grudnia 2018 r. po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku zostaje usunięty. Po usunięciu na nowo zostaje robiona kopia archiwizacyjna na karcie micro SD, która przechowywana jest w zabezpieczonym pomieszczeniu.
- Zgodnie z wyjaśnieniami Szkoły z dnia […] września 2019 r. w sytuacji, gdy rodzic danego dziecka nie wycofa zgody na korzystanie przez nie z czytnika biometrycznego, a dziecko przestanie korzystać z usług stołówki szkolnej, (bez rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej) wzorzec biometryczny zapisany w czytniku przechowywany jest do czasu rozwiązania lub do zakończenia roku szkolnego. Wzorzec biometryczny zapisany na czytniku i na karcie SD pozostaje na czas wakacji. W przypadku nieprzedłużenia umowy o korzystanie z obiadów w stołówce szkolnej na nowy rok szkolny ww. dane usuwane są najpóźniej do […] września każdego roku.
- Zgodnie z wyjaśnieniami Szkoły z dnia […] września 2019 r. po podpisaniu umowy i wyrażeniu zgody przez rodzica na korzystanie z czytnika biometrycznego dziecko rejestrowane jest w systemie ewidencji wpłat i posiłków (SEWiP) poprzez wprowadzenie jego imienia, nazwiska, klasy oraz imienia, nazwiska, adresu e-mail, tel. kontaktowego rodzica. Następnie (jeśli rodzic wyraził zgodę) dochodzi do rejestracji wzorca odcisku palca dziecka w czytniku. Od tego momentu wzorzec identyfikowany jest przez ww. system za pomocą liczby porządkowej w czytniku. Czytnik w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu odciskowi palca wysyła do systemu numer, który w systemie przypisany jest danej osobie i następie odczytuje status obiadu (opłacony/nieopłacony).
- W ocenie Szkoły w systemie nie są zapisywane żadne dane, które byłyby danymi biometrycznymi.
- Program SEWiP (system ewidencji wpłat i posiłków) zainstalowany jest na serwerze szkolnym. Serwer jest chroniony przed nieuprawnionym dostępem za pomocą hasła. Serwer posiada również ochronę antywirusową z firewallem. Dostęp do serwera posiada upoważniony pracownik Szkoły.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwane dalej RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Z kolei zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Podkreślić należy, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 RODO). Państwa członkowskie Unii Europejskiej mają dodatkowo prawo doprecyzowania krajowych przepisów związanych z przetwarzaniem szczególnej kategorii danych osobowych (w tym danych biometrycznych) do konkretyzacji warunków, które przesądzają o legalności przetwarzania ww. danych osobowych (motyw 10 RODO). W przypadku, gdy przetwarzania danych osobowych dokonuje się w celu realizacji obowiązku prawnego, który nałożony jest na administratora, podstawą jego przetwarzania powinno być prawo wspólnotowe lub prawo kraju członkowskiego. Nie jest wymagane, aby dla każdego pojedynczego przetwarzania istniało konkretne uregulowanie prawne. Wystarczającym jest, że dane uregulowanie prawne stanowi podstawę do wielu operacji przetwarzania wynikającego z jednego obowiązku prawnego (któremu podlega administrator), czy też przetwarzanie konieczne jest do realizacji zadania wykonywanego w interesie publicznym (motyw 45 RODO). Podkreślić należy, że dane biometryczne z racji swej charakterystyki są szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają szczególnej ochrony. Kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, co do zasady zatem takich dany nie powinno się przetwarzać, a wyjątkiem są przesłanki legalizujące ten proces znajdujące się w RODO. Prawo państw członkowskich może jednak obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów RODO tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem (motyw 51 RODO).
System biometryczny identyfikuje te cechy, które są co do zasady niezmienne i niejednokrotnie (jak w przypadku danych daktyloskopijnych), niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Należy zatem wskazać, że ewentualny wyciek danych biometrycznych skutkował będzie dużym ryzykiem naruszenia praw i wolności osób fizycznych. Odnosi się to w sposób szczególny do danych biometrycznych dzieci, bowiem podjęcie decyzji o udostępnieniu tego rodzaju danych dziecka przez opiekunów prawnych oraz ich ewentualny wyciek nie będzie możliwy do odwrócenia w czasie, nawet po osiągnięciu przez dziecko pełnoletności.
Na podstawie zgromadzonego materiału dowodowego stwierdzić należy, że od dzieci, których rodzice zgodzili się na ich identyfikację oraz identyfikację ich uprawnienia do odbioru posiłku (w danym dniu) metodą wykorzystującą odcisk linii papilarnych pozyskiwany jest obraz linii papilarnych. Z tego obrazu kontroler […] automatycznie typuje wybrane cechy odcisku palca i przetwarza je na zapis cyfrowy (wzorzec biometryczny), który przechowuje w swojej pamięci. Do zapisu cyfrowego przypisywany jest numer pozycji (od 1 do 3000) po przyłożeniu palca do czytnika, system porównuje go z wzorcami biometrycznym znajdującymi się w pamięci czytnika. Później łączy numer pozycji z tym samym numerem w SEWiP do którego przypisane jest jego imię, nazwisko, klasa, uprawnienie do pobrania posiłku w danym dniu oraz imię, nazwisko, adres e-mail, tel. kontaktowy rodzica. W ocenie Prezesa UODO pozyskane przez Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne w rozumieniu powołanego przepisu (art. 4 pkt 14 RODO) wbrew złożonym wyjaśnieniom Szkoły. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.
Przetwarzanie szczególnej kategorii danych osobowych, do której należą dane biometryczne, regulowane jest w art. 9 ust. 1 RODO zgodnie z którym, przetwarzanie danych osobowych ujawniających dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione. Wyżej wymieniony ustęp nie ma zastosowania, m.in. gdy jest spełniony jeden z poniższych warunków: osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1 (lit. a). Katalog wymieniony w art. 9 ust. 2 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi minimalizacja danych (lit. c). Wspomniana zasada wymaga, by proces przetwarzania był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Szkoła w złożonych wyjaśnieniach wskazała, że przetwarzanie danych biometrycznych znajduje oparcie w dobrowolnej zgodzie rodziców uczniów (opiekunów prawnych). Zgodnie z art. 4 ust. 11 RODO "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Prawodawca unijny w motywie 43 RODO stwierdza jednak, że aby można było mówić o dobrowolności wyrażenia zgody, nie powinna stanowić ona ważnej podstawy prawnej przetwarzania danych osobowych w szczególności w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą a administratorem.
Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.
W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. Uznanie faktu wyrażenia zgody przez rodziców dzieci jako okoliczności legalizującej pobranie od dzieci innych danych niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów. Warte podkreślenia jest, że zgodnie z zasadami wydawania obiadów umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki (pkt 3), oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej (pkt 9). Wskazane powyżej zasady wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.
Wobec powyższego uznać należy, że Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. W związku z tym, z uwagi na to, że Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, takie postępowanie prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych ustanowionej w RODO, zgodnie z którą administrator danych czyli w tym przypadku Szkoła, nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów. Należy zauważyć, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Wyżej wymienioną identyfikację Szkoła może przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej. Z zebranego materiału dowodowego wynika, że Szkoła umożliwia korzystanie z usług stołówki szkolnej za pomocą odcisku linii papilarnych, karty elektronicznej lub na podstawie nazwiska i numeru umowy. Zatem, w Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu. Podkreślić należy, że dane biometryczne mogą być wykorzystywane m.in. w celach zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji w celu weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach, wydawaniu dokumentów identyfikacyjnych (paszportów), kontroli dostępu do określonych sfer bezpieczeństwa - w przypadkach tych procesy te mogą być rozważane jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu, a zakres wykorzystywanych danych za adekwatny. Tymczasem weryfikacja tego kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi w ocenie organu zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. f i lit. g RODO, nakazuje Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz nakazuje zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
Zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 tego RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Szkołę administracyjnej kary pieniężnej.
Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a-h oraz lit. j RODO. Prezes UODO decydując o nałożeniu na Szkołę administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a-k RODO wziął pod uwagę następujące okoliczności tej sprawy:
- Dane biometryczne dzieci były przetwarzane bez podstawy prawnej z naruszeniem zasady minimalizacji, stan ten trwa od […] maja 2018 r. do chwili obecnej. Obecnie dotyczy 680 dzieci. Organ nie posiada dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie zasady minimalizacji danych szczególnej kategorii stanowić może szkodę niemajątkową. Działanie Szkoły może prowadzić do bezpodstawnego różnicowania sytuacji uczniów korzystających z usług stołówki szkolnej (charakter, waga oraz czas trwania naruszenia);
- Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, dotyczy bowiem przetwarzania danych szczególnej kategorii oraz są to dane dzieci. Przetwarzanie odbywa się bez podstawy prawnej i narusza podstawową w odniesieniu do przetwarzania danych osobowych zasadę minimalizacji (art. 5 ust. 1 lit. c RODO). Stwierdzone naruszenie trwa do chwili obecnej (charakter, waga i czas trwania naruszenia);
- Szkoła podjęła świadomą decyzję, motywowaną chęcią sprawnej identyfikacji dzieci pobierających posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu, co oznacza, że należy przypisać jej umyślność działania, które naruszyło art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO (umyślny lub nieumyślny charakter naruszenia);
- Administrator nie podjął działań w celu zminimalizowania potencjalnej szkody niemajątkowej, ponieważ nie kwalifikował swojego działania jako niezgodnego z prawem (działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą);
- Stwierdzone naruszenie nie ma związku z wdrożeniem i jakością stosowanych przez Szkołę – na mocy art. 25 i 32 RODO – środków organizacyjnych i technicznych, dlatego też nie istnieje konieczność ustalania w tym kontekście stopnia odpowiedzialności Szkoły (stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych);
- Nie zostało stwierdzone, żeby Szkoła uprzednio dopuściła się naruszenia przepisów RODO, które miałoby istotne znaczenie dla niniejszego postepowania (wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego);
- Naruszenie dotyczyło danych biometrycznych - kategorii danych podlegających szczególnej ochronie (kategorie danych osobowych, których dotyczy naruszenie);
- Prezes UODO pozyskał informację o bezprawnym przetwarzaniu ww. danych osobowych przez Szkołę z urzędu (sposób, w jaki organ nadzorczy dowiedział się o naruszeniu);
- W tej samej sprawie nie zostały wcześniej zastosowane wobec Szkoły środki, o których mowa w art. 58 ust. 2 RODO (przestrzeganie środków nałożonych w tej samej sprawie na administratora);
- Szkoła nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (stosowanie kodeksów postępowania lub mechanizmów certyfikacji);
Prezes Urzędu Ochrony Danych Osobowych za okoliczności obciążające i mające wpływ na wymiar kary uznał okoliczności wymienione w ww. pkt 1, 2, 3 oraz 7. Z kolei żadnego wpływu na fakt nałożenia jak i sam wymiar administracyjnej kary pieniężnej nie miały okoliczności wskazane w ww. pkt 4, 5, 8, 9 oraz 10.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Szkoła dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Szkoła całkowicie zignorowała fakt przetwarzania danych biometryczny dzieci poprzez stwierdzenie, że nie przetwarza danych w ww. zakresie.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Szkołę przepisów RODO, ale i prewencyjną, jako że sama Szkoła będzie skutecznie zniechęcona do naruszania w taki sposób przepisów ochrony danych osobowych w przyszłości.
W ustalonych okolicznościach niniejszej sprawy, tj. wobec stwierdzenia naruszenia zasady minimalizacji wynikającej z art. 5 ust. 1 lit. c RODO oraz art. 9 ust. 1 RODO, zastosowanie znajduje art. 83 ust. 7 RODO, zgodnie z którym bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Zgodnie zaś z art. 102 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej ustawą z 2018 r., Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych m.in. na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869).
W związku z powyższym wskazać należy, że kara pieniężna w wysokości 20 000,00 zł spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO ze względu na powagę stwierdzonego naruszenia w kontekście podstawowej zasady RODO – minimalizacji danych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Pouczenie: Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.